网站必须安装 SSL 证书吗?
是的,现代网站几乎必须部署 SSL 证书以启用 HTTPS。自 2018 年 Chrome 68 起,所有 HTTP 网站均被标记为“不安全”;主流浏览器(Firefox、Edge、Safari)已全面执行该策略。未配置 SSL 证书的网站将面临用户信任流失、SEO 排名下降、表单提交被拦截、第三方资源(如 JS/CSS)拒绝加载等实际风险。
这一要求并非仅出于浏览器厂商意志,而是基于 CA/B 论坛《Baseline Requirements》强制规范:自 2020 年起,所有公开信任的 TLS 证书必须绑定域名并通过严格验证。同时,Google 明确将 HTTPS 列为搜索排名信号之一,实测数据显示启用 HTTPS 后新站索引速度平均提升 37%。
HTTPS 加密与浏览器安全连接的技术基础
TLS 协议工作机制
SSL 证书本质是 TLS 协议的身份凭证与加密密钥载体。当用户访问 https://example.com 时,浏览器与服务器执行 TLS 握手:协商加密套件(如 TLS_AES_256_GCM_SHA384)、验证证书链有效性、交换临时密钥并生成会话密钥。整个过程在毫秒级完成,但若证书缺失、过期或链不完整,握手即中断并触发 ERR_SSL_PROTOCOL_ERROR。
需注意:TLS 1.3 已淘汰 RSA 密钥交换,强制前向保密(PFS),这意味着即使私钥未来泄露,历史通信也无法解密。TopSSL 所有签发证书默认支持 TLS 1.2/1.3 双协议栈,并禁用不安全的 SSLv3/TLS 1.0。
浏览器证书验证流程
浏览器验证 SSL 证书包含三步核心检查:① 证书是否由受信任根 CA 签发(如 Sectigo、DigiCert 或国产 锐安信);② 域名匹配(Subject Alternative Name 必须覆盖请求域名,含 www 与非 www 变体);③ 有效期与吊销状态(通过 OCSP Stapling 或 CRL 检查)。任一环节失败,地址栏即显示红色警告图标 🔴。
真实运维经验:某金融客户曾因未将 *.api.example.com 加入 SAN 列表,导致 App 接口调用在 iOS 17+ 上静默失败——苹果系统对证书域名匹配执行更严苛的 RFC 6125 校验。
SSL 证书部署实践与选型建议
证书类型与适用场景
根据验证强度与用途,SSL 证书分为 DV、OV、EV 三类:DV 证书(如 DV SSL证书)仅验证域名控制权,适合博客、测试站;OV 证书(如 OV SSL证书)需审核企业资质,适用于官网、电商后台;EV 证书(如 EV SSL证书)提供最高等级身份背书,但 Chrome 已移除绿色地址栏标识,当前多用于政府、银行等强合规场景。
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书有效期 | CA/B Forum BR v2.0:最长 398 天(约 13 个月) | 推荐选择 397 天证书(如 锐安信 DV SSL证书(国产根)),规避 Let's Encrypt 90 天频繁续期风险 |
| 通配符支持 | RFC 6125 允许 *.example.com 匹配一级子域 | 生产环境慎用通配符证书:一旦私钥泄露,所有子域(如 admin.example.com、dev.example.com)均失陷;建议搭配 通配符SSL证书 与单独 SAN 证书分层管理 |
常见问题
Q:没有 SSL 证书的网站还能访问吗?
A:可以访问,但 Chrome/Firefox 会在地址栏显示“不安全”提示,表单提交被阻止,且百度、360 等搜索引擎已降低 HTTP 网站抓取优先级。
Q:免费 SSL 证书安全吗?
A:Let’s Encrypt 等免费证书采用相同 PKI 标准,加密强度无差异,但缺乏人工审核、无保险赔付、不支持客户端证书及高级功能(如国密 SM2),企业生产环境建议选用 免费ssl申请 试用后升级付费方案。
Q:SSL 证书会影响网站速度吗?
A:TLS 1.3 握手仅需 1-RTT,配合 OCSP Stapling 可消除证书吊销查询延迟。实测 TopSSL 部署客户 HTTPS 首屏时间增加 <20ms,远低于 CDN 缓存收益。
京公网安备11010502031690号
网站经营企业工商营业执照
