SSL 简介
通过计算机网络发送的任何通信数据均有可能被截取、解密或修改。为保证网络通信的安全,建议使用安全套接字层 (SSL) 协议。SSL 是一项标准行业安全技术,用于在 web 服务器与 web 客户端(如 web 浏览器)之间建立加密连接。SSL 通过对服务器进行识别和验证以及确保所有传输数据的隐私和完整性来实现安全网络通信。由于 SSL 可防止窃听或篡改通过网络发送的信息,所以应对任何登录或身份验证机制以及任何包含保密信息或私有信息的网络通信应用 SSL。
SSL 证书
要能够在 Web 服务器和客户端之间创建 SSL 连接,Web 服务器需要一个 SSL 证书。SSL 证书是一个数字文件,包含有关 Web 服务器标识的信息。它还包含建立 Web 服务器和客户端之间的安全通道时要使用的加密方法。SSL 证书必须由网站和数字签名的所有者创建。
自签名证书
只能由网站所有者签名的 SSL 证书称为自签名证书。自签名证书通常用于仅对组织内部 (LAN) 网络上的用户可用的网站上。由于无需验证网站的标识,因此使用自签名证书可确保组织内的安全网络通信。
注:任何使用自签名 SSL 证书连接到网站的 Web 客户端(例如 Web 浏览器)都将显示一个警告,即该站点无法作为受信任的网站进行验证。有关如何禁止自签名证书警告的信息,请参阅禁止自签名证书的警告。
CA 签名证书
除了由网站所有者签名以外,SSL 证书还可由独立的证书颁发机构 (CA) 进行签名。CA 通常是一个受信任的第三方机构,可用于证实网站的真实性。如果网站值得信任,CA 会将其自己的数字签名添加到该网站的自签名 SSL 证书。这可担保网站标识已经过验证的 Web 客户端。
使用由著名 CA 颁发的 SSL 证书时,服务器和 Web 客户端之间的安全通信将自动进行而无需用户执行任何特殊操作。Web 浏览器中不会显示任何警告消息,因为网站已由 CA 进行验证。设置网站的 SSL 时,通常的做法是在测试环境中使用一个自签名 SSL 证书而在转至生产时使用 CA 签名证书。