ssl证书常见知识
SSL/TLS 证书是实现 HTTPS 加密通信的核心信任凭证,本质是一组由受信证书颁发机构(CA)签发的公钥数字证书,遵循 X.509 标准(RFC 5280)。其核心作用包括:验证服务器身份、建立加密通道(协商对称密钥)、保障传输数据的机密性与完整性。
证书包含关键字段:主体域名(Subject Alternative Name,SAN)、公钥、签名算法(如 RSA-PSS、ECDSA-SHA256)、有效期(自 2024 年起主流 CA 已将最大有效期限制为 398 天)、颁发者(Issuer)、以及由 CA 私钥生成的数字签名。浏览器通过内置根证书列表(Root Store)逐级验证证书链是否可信——即:站点证书 → 中间证书 → 受信根证书。
根据验证强度,DV SSL证书仅校验域名控制权;OV SSL证书额外验证组织真实身份(显示公司名称);EV SSL证书已逐步被主流浏览器弱化显示(Chrome 自 2019 年起移除绿色地址栏),但仍在金融、政务等高合规场景中保留审计价值。国密算法证书(国密SSL证书)则采用 SM2 公钥加密与 SM3/SM4 算法,满足《GM/T 0024-2014》等国内密码标准要求。
需要注意的情况
- 证书不可跨域复用:单域名证书仅保护精确匹配的主域名(如 example.com),泛域名证书(*.example.com)不覆盖二级以上子域(如 a.b.example.com)或父域(example.com)需单独配置 SAN 或另购证书。
- Let’s Encrypt 提供的 免费ssl证书为 DV 类型,有效期 90 天,依赖自动化 ACME 协议续期;生产环境建议搭配自动续期脚本或托管服务,避免因过期导致 HTTPS 中断。
- 自签名证书或私有 CA 签发证书不会被浏览器信任,仅适用于内网测试或设备端预置场景;对外服务必须使用公共信任链中的 CA 签发证书。
- 证书部署后需同步配置完整证书链(含中间证书),否则可能在部分客户端(如旧版 Android、Java 应用)出现“NET::ERR_CERT_AUTHORITY_INVALID”错误。
京公网安备11010502031690号
网站经营企业工商营业执照
