SSL/TLS加密传输与数字证书解读

什么是ssl？

secure socket layer(ssl)协议最初由netscape企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通信的全球化标准。因为ssl技术已创建到全部主要的浏览器和web服务器程序中，所以，仅需安装数字证书，或服务器证书就能够激活服务器功能了。

 

什么是服务器证书？

服务器证书是安装在你的web服务器上，你可将服务器证书视为一种可让访问者利用网页浏览器来验证网站真实身份的数字证实，且能够经过服务器证书进行具备ssl加密的通信过程。

 

服务器证书如何操做？

用户链接到你的web站点，该web站点受服务器证书所保护。（可由查看 url的开头是否为"https:"来进行辩识，或浏览器会提供你相关的信息）。

你的服务器进行响应，并自动传送你网站的数字证书给用户，用于鉴别你的网站。

用户的网页浏览器程序产生一把惟一的"会话钥匙码"，用以跟网站之间全部的通信过程进行加密。

使用者的浏览器以网站的公钥对交谈钥匙码进行加密，以便只有让你的网站得以阅读此交谈钥匙码。

如今，具备安全性的通信过程已经创建。这个过程仅需几秒中时间，且使用者不需进行任何动做。依不一样的浏览器程序而定，使用者会看到一个钥匙的图标变得完整，或一个门栓的图标变成上锁的样子，用于表示目前的工做阶段具备安全性。

 

什么是ssl证书?

ssl是一种协议，为了可以使用ssl协议，组织或企业须要一张ssl证书。ssl证书是一种小型的数据文件，内含有关您企业组织详细信息的密钥一般包含：

一、您的域名或服务器名
二、您公司的名称及地址
三、在某些状况下，您的详细联系方式

为了激活浏览器的ssl传输功能，企业组织须要申请并在其服务器上安装ssl证书。根据申请的证书种类，企业组织须要通过不一样级别的审核。一旦证书安装完毕，就可以经过https://www.domain来访问网站，经过这样的地址访问，会告诉服务器与浏览器间创建安全的链接。一旦当安全链接创建完毕，服务器与浏览器之间的全部数据传输都是安全可靠的。

ssl 证书必须由可信任ca的根证书颁发。为了使证书可信任，用户的终端机器上必须装有该ca的根证书。若是该证书不可信，浏览器将会向终端用户显示证书不可信的错误信息。在商务状况下，这样的错误信息会当即形成用户对网站缺少信任，所以使用不可信任证书的站点，正冒着失去大多数用户信赖及商业机会的风险。

globalsign公司，是可信任的ca机构。这是由于各大浏览器和操做系统供应商，如microsoft、mozilla、opera、blackberry、java 等，均相信globalsign是合法的ca，是可信赖的ssl证书颁发机构。ca将它的根证书预埋至越多的应用程序、设备以及浏览器，其颁发的ssl证书就能越好的被识别。

根预埋策略--确保您的每一位客户得到最直观的安全保护

globalsign进行根证书预埋计划已经超过10年之久。此计划确保来自于美国、英国、欧洲大陆和亚洲的内部工程师，可以和应用程序、设备及浏览器供应商保持持续的沟通，以确保globalsign的根证书可以安装在每个可能使用ssl传输的地方。

 

总结：

好比，服务器没有安装来自某个公司的数字证书，那么，他的中间件中的SSL/TLS模块就无法激活，不能使用（其实证书公司与SSL开发组织及微软确定有莫大的关系），若是客户端（浏览器）没有安装与某网站服务器要求的SSL数字证书，也无法访问该网站，前提是该浏览器激活了SSL/TLS模块（一般，这种激活是免费的，由于浏览器一般都是免费的）。

好比，若是你服务器SSL未激活，那么，你的域名只能是以HTTP而不是以HTTPS开头的域名，若是，你的客户端（浏览器）没有开启SSL/TLS支持，或没有安装相关网站的数字证书，那么就没法访问HTTPS的相关网站。

好比：禁用客户端（IE浏览器）SSL/TLS协议

你们应该明白了吧！