SSL握手過程是HTTPS協(xié)議中的一個(gè)核心部分,它允許客戶端及服務(wù)器之間進(jìn)行身份驗(yàn)證,并確保在數(shù)據(jù)傳輸?shù)倪^程中雙方的數(shù)據(jù)都得到了加密保護(hù)。在HTTPS連接成功建立之前,SSL握手過程必須在客戶端及服務(wù)器之間完成。SSL握手過程是整個(gè)HTTPS傳輸過程的安全基石,確保了傳輸過程中雙方的數(shù)據(jù)即便被黑客竊取也是加密的。
SSL(Secure Socket Layer)是為了解決互聯(lián)網(wǎng)應(yīng)用的保密、完整性、驗(yàn)證等問題而設(shè)計(jì)的安全協(xié)議。對(duì)于HTTPS協(xié)議來(lái)說(shuō),它是在HTTP協(xié)議的基礎(chǔ)上加上一層SSL/TLS協(xié)議,確保荷載信息在傳輸過程中得到安全的保護(hù),防止被中間人竊取、偽造、篡改或者重放攻擊和其他一些安全問題。
在HTTPS協(xié)議連接建立的過程中,SSL握手是不可或缺的一環(huán)。SSL握手可以認(rèn)為是客戶端與服務(wù)器之間進(jìn)行的安全協(xié)商過程,也是整個(gè)傳輸過程的安全基石。SSL握手完成后,客戶端和服務(wù)器之間就可以開始加密傳輸數(shù)據(jù)。
SSL握手的過程主要包括以下幾個(gè)步驟:
1. 客戶端發(fā)送ClientHello消息
客戶端在建立HTTPS連接后,首先發(fā)送一個(gè)ClientHello消息,該消息包含以下信息:
- SSL/TLS協(xié)議版本。
- 支持的加密算法集合。
- 隨機(jī)數(shù)(client_random)。
- 按順序列表打算訪問的服務(wù)器名。
2. 服務(wù)端響應(yīng)ServerHello消息
服務(wù)器收到客戶端的ClientHello消息后,根據(jù)客戶端發(fā)來(lái)的協(xié)議版本信息和加密算法列表選定適合的這兩項(xiàng),然后發(fā)送一個(gè)ServerHello消息給客戶端,該消息包含以下信息:
- 選定的協(xié)議版本。
- 選定的加密算法。
- 隨機(jī)數(shù)(server_random)。
3. 服務(wù)端發(fā)送證書
服務(wù)端向客戶端發(fā)送自己的數(shù)字證書,以供客戶端驗(yàn)證確認(rèn)服務(wù)器的身份。證書通常以X.509格式存儲(chǔ)??蛻舳耸褂脭?shù)字證書中的公鑰,檢驗(yàn)這個(gè)數(shù)字證書是否是可以信賴的。
如果運(yùn)營(yíng)商對(duì)SSL進(jìn)行中間人劫持,將會(huì)偽造一個(gè)數(shù)字證書發(fā)給客戶端,在這個(gè)數(shù)字證書中,證書公鑰對(duì)應(yīng)的所有者會(huì)是服務(wù)器名,這也是竊取機(jī)密信息或者篡改數(shù)據(jù)的原因之一。
4. 客戶端驗(yàn)證證書
客戶端收到服務(wù)端發(fā)送的證書后,按照一定的規(guī)則驗(yàn)證證書的合法性,如果驗(yàn)證通過,則開始進(jìn)行下一步的交互。
5. 客戶端發(fā)送ClientKeyExchange消息
客戶端發(fā)送了一個(gè)包括重定向信息、余下消息長(zhǎng)度和隨機(jī)數(shù)據(jù)的信息。它使用發(fā)給服務(wù)器的隨機(jī)數(shù)和鹽值生成預(yù)主密鑰,并將加密后的預(yù)主密鑰發(fā)送給服務(wù)器。
6. 客戶端發(fā)送ChangeCipherSpec消息
客戶端向服務(wù)器發(fā)送一個(gè)消息告訴服務(wù)器自己已經(jīng)提前完成了所有準(zhǔn)備工作,可以開始使用加密通信協(xié)定了。
7. 服務(wù)端發(fā)送ChangeCipherSpec消息
服務(wù)器向客戶端發(fā)送一個(gè)消息告訴客戶端自己已經(jīng)也完成了所有準(zhǔn)備工作,可以開始使用加密通信協(xié)定了。
8. 客戶端發(fā)送Finished消息
客戶端向服務(wù)器發(fā)送一個(gè)Finished消息,該消息包含了一個(gè)經(jīng)過計(jì)算的驗(yàn)證數(shù)據(jù),用于驗(yàn)證握手過程中是否存在任何修改或篡改。
9. 服務(wù)端發(fā)送Finished消息
服務(wù)端向客戶端發(fā)送一個(gè)Finished消息,該消息包含了一個(gè)經(jīng)過計(jì)算的驗(yàn)證數(shù)據(jù),用于驗(yàn)證握手過程中是否存在任何修改或篡改。
當(dāng)以上幾步完成后,SSL握手過程就完成了。此時(shí),客戶端和服務(wù)器之間的連接是加密的,所有傳輸?shù)臄?shù)據(jù)都受到加密保護(hù)。
SSL握手過程是HTTPS協(xié)議的重要組成部分,可以認(rèn)為是客戶端與服務(wù)器之間的安全協(xié)商過程。在SSL握手完成后,客戶端和服務(wù)器之間可以開始安全傳輸數(shù)據(jù)。因此,SSL握手過程對(duì)于保障HTTPS連接的安全性具有至關(guān)重要的作用,完整性,隱私性和可靠性。
互億無(wú)線竭力為您提供全面的SSL證書解決方案,保障您網(wǎng)站的安全與信任。我們呈現(xiàn)豐富多樣的SSL證書類型,如DV(域名驗(yàn)證)、OV(組織驗(yàn)證)和EV(擴(kuò)展驗(yàn)證)證書,滿足您各類安全需求。我們提供全面的證書類型,涵蓋單域名、多域名以及通配符證書。以便適應(yīng)您的網(wǎng)站架構(gòu)需求。我們與全球證書品牌,如Globalsign、DigiCert、GeoTrust、vTrus、COMODO等建立了密切的合作關(guān)系,確保您獲得高品質(zhì)的SSL證書。
![]() |
一站式SSL證書購(gòu)買方案 |
![]() |
享受快速簽發(fā)的SSL證書服務(wù) |
![]() |
我們提供高性價(jià)比的SSL證書價(jià)格方案 |
![]() |
提供全方位的SSL證書服務(wù) |
問:SSL證書怎么用,如何快速上手?
答:1.購(gòu)買SSL證書實(shí)例:提交證書申請(qǐng).證書簽發(fā)后下載證書等。2.使用已購(gòu)買的SSL證書實(shí)例,向CA中心提交證書申請(qǐng):CA中心是頒發(fā)SSL證書的機(jī)構(gòu)。您可以通過購(gòu)買的SSL證書實(shí)例向CA中心提交證書申請(qǐng)。只有當(dāng)CA中心通過您的證書申請(qǐng)時(shí),SSL證書才會(huì)簽發(fā)給您。3.將已簽發(fā)的SSL證書安裝到您的Web服務(wù)器或部署到阿里云產(chǎn)品:SSL只有正確安裝到Web服務(wù)器,才能實(shí)現(xiàn)客戶端與服務(wù)器之間的HTTPS通信。由于不同類型的Web服務(wù)器的配置,您需要在證書簽發(fā)后根據(jù)實(shí)際服務(wù)器環(huán)境安裝證書。我們?yōu)槟峁┝嗽谄胀╓eb服務(wù)器上安裝SSL證書的指導(dǎo),供您參考。一些阿里巴巴云產(chǎn)品支持部署證書,即通過SSL證書服務(wù)將簽發(fā)的證書一鍵安裝在云產(chǎn)品上。不同的云產(chǎn)品可能需要部署SSL證書,以實(shí)現(xiàn)不同的功能目的。證書部署到云產(chǎn)品并不意味著證書不需要安裝到服務(wù)器上,具體以云產(chǎn)品的使用說(shuō)明為準(zhǔn)。4.證書即將過期時(shí),為證書續(xù)費(fèi),用新簽發(fā)的證書代替舊證書:CA中心頒發(fā)的SSL證書默認(rèn)有效期為一年。證書過期后,將不受瀏覽器的信任,影響客戶通過HTTPS協(xié)議訪問您的業(yè)務(wù)。您可以在證書到期前30個(gè)自然日內(nèi)自動(dòng)更新證書手續(xù)費(fèi),或提前打開證書托管服務(wù),SSL證書服務(wù)將自動(dòng)更新證書。續(xù)簽證書意味著重新購(gòu)買并申請(qǐng)與舊證書規(guī)格相同的SSL證書。續(xù)簽證書后,您還必須將續(xù)簽的新證書重新安裝到您的網(wǎng)絡(luò)服務(wù)器(或部署到阿里云產(chǎn)品),以更換即將到期的舊證書。5.不再需要使用證書時(shí),向CA中心提交吊銷證書申請(qǐng):如果不再需要使用仍然有效的SSL證書,出于安全考慮(如避免盜用證書),建議您通過SSL證書服務(wù)向CA中心提交吊銷證書申請(qǐng)。吊銷證書意味著從頒發(fā)證書的CA中心注銷證書信息。取消的證書將無(wú)效。
問:256位加密服務(wù)器證書的性質(zhì)?
答:需要14輪AES,(AdvancedEncryptionStandard是NIST公布的一種被廣泛應(yīng)用的密碼學(xué)標(biāo)準(zhǔn),相對(duì)于DES速度更快,內(nèi)存使用率也更低),平均破解速度為2563.31x1056年
問:如何選擇SSL證書類型、證書品牌、域名類型?
答:如何選擇證書類型?若您的網(wǎng)站主體為個(gè)人(即無(wú)企業(yè)營(yíng)業(yè)執(zhí)照),只能申請(qǐng)免費(fèi)或DV型數(shù)字證書。對(duì)于一般企業(yè),建議購(gòu)買OV及以上類型的數(shù)字證書。金融.建議支付企業(yè)購(gòu)買EV證書。移動(dòng)網(wǎng)站或接口調(diào)用,建議您使用OV及以上類型的證書。(DigiCert該品牌的EV證書受到服務(wù)器IP的限制。如果您的一個(gè)域名有多個(gè)主機(jī)IP,建議您購(gòu)買多張數(shù)字證書。)如何選擇證書品牌?各數(shù)字證書品牌兼容性由強(qiáng)到弱的順序:DigiCert>GeoTrust>CFCA。建議您選擇Digicert品牌作為移動(dòng)網(wǎng)站或接口調(diào)用相關(guān)應(yīng)用。域名類型如何選擇?1.單域名:單域名是指一個(gè)證書只能保護(hù)一個(gè)主域名或一個(gè)子域名或一個(gè)公共網(wǎng)絡(luò)IP。例如,skoolfish.com。2.多域名:多域名是指同時(shí)綁定多個(gè)單域名的證書。這些域名可以是頂級(jí)域名或非頂級(jí)域名,例如demo.example.com.guide.developer.ihuyi.com等等。一個(gè)證書最多支持綁定250個(gè)域名。3.通配符域名:通配符域名是指所有與主域名和次級(jí)域名相對(duì)應(yīng)的子域名。例如*.ihuyi.com,默認(rèn)贈(zèng)送ihuyi.com,*.ihuyi.com可以匹配skoolfish.com(下一級(jí)子域名).example.ihuyi.com(下一級(jí)子域名)等,不支持匹配www.example.ihuyi.com。例如,通配符域名只支持同級(jí)匹配*.ihuyi.com支持demo.ihuyi.com,但不支持learn.demo.ihuyi.com。假如你需要支持learn.demo.ihuyi.com通配符域名數(shù)字證書還需要購(gòu)買一張*.demo.ihuyi.com通配符域名證書。多通配符證書是指綁定多個(gè)通配符域名的證書。數(shù)字證書管理服務(wù)只支持申請(qǐng)單個(gè)通配符域名的證書,不支持申請(qǐng)多通配符域名的證書。您可以合并多個(gè)相同的品牌.生成多通配符證書的類型證書。具體操作請(qǐng)參見證書合并申請(qǐng)。4.混合域名:混合域名證書是指包括單個(gè)域名和通配符域名的綁定域名的證書。例如,綁定域名是*.ihuyi.com.demo.example.com,稱該證書為混合域名證書。數(shù)字證書管理服務(wù)不支持混合域名證書的申請(qǐng)。您可以合并多個(gè)相同的品牌.類型證書,生成混合域名證書。具體操作請(qǐng)參見證書合并申請(qǐng)。只有域名本身包含在通配符域名的數(shù)字證書中。例如:*.ihuyi.com通配符域名數(shù)字證書包括ihuyi.com。*.demo.ihuyi.com通配符域名數(shù)字證書不包括demo.ihuyi.com。如果在特定域名中填寫www域名,則包含主域名本身。例如:skoolfish.com域名綁定的數(shù)字證書包括ihuyi.com。www.demo.ihuyi.com域名綁定的數(shù)字證書不包括demo.ihuyi.com。一旦頒發(fā)了您的數(shù)字證書,您將無(wú)法修改域名信息。
證書等級(jí) | DV(域名級(jí))SSL證書 | OV(企業(yè)級(jí))SSL證書 |
適用場(chǎng)景 | 個(gè)人網(wǎng)站、企業(yè)測(cè)試 | 中小企業(yè)的網(wǎng)站、App、小程序等 |
驗(yàn)證級(jí)別 | 驗(yàn)證域名所有權(quán) | 驗(yàn)證企業(yè)/組織真實(shí)性和域名所有權(quán) |
HTTPS數(shù)據(jù)加密 | ![]() |
![]() |
瀏覽器掛鎖 | ![]() |
![]() |
搜索排名提升 | ![]() |
![]() |
單域名證書 |
¥ 150 /年 ¥ 400 /3年
|
¥ 720 /年 ¥ 2000 /3年
|
通配符證書 |
¥ 550 /年 ¥ 1500 /3年
|
¥ 1500 /年 ¥ 4200 /3年
|
驗(yàn)證碼已發(fā)送到您的手機(jī),請(qǐng)查收!
輸入驗(yàn)證碼后,點(diǎn)擊“開通體驗(yàn)賬戶”按鈕可立即開通體驗(yàn)賬戶。