SSL证书验证过程解读及申请使用注意事项

SSL证书和我们日常用的身份证类似，是一个支持HTTPS网站的身份证明，由受信任的数字证书颁发机构CA(如沃通CA)验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。SSL证书里面包含了网站的域名，证书有效期，证书的颁发机构以及用于加密传输密码的公钥等信息，由于公钥加密的密码只能被在申请证书时生成的私钥解密，因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致，同时还要对证书的颁发机构进行验证，如果验证失败浏览器会给出证书错误的提示。

本文将对SSL证书的验证过程以及个人用户在访问HTTPS网站时，对SSL证书的使用需要注意哪些安全方面的问题进行描述。

一、数字证书的类型

实际上，我们使用的数字证书分很多种类型，SSL证书只是其中的一种。证书的格式是由X.509标准定义。SSL证书负责传输公钥，是一种PKI(Public Key Infrastructure，公钥基础结构)证书。

我们常见的数字证书根据用途不同大致有以下几种：

1、SSL证书：用于加密HTTP协议，也就是HTTPS。

2、代码签名证书：用于签名二进制文件，比如Windows内核驱动，Firefox插件，Java代码签名等等。

3、客户端证书：用于加密邮件。

4、双因素证书，网银专业版使用的USB Key里面用的就是这种类型的证书。

这些证书都是由受认证的证书颁发机构CA(Certificate Authority)来颁发，针对企业与个人的不同，可申请的证书的类型也不同，价格也不同。CA机构颁发的证书都是受信任的证书，对于SSL证书来说，如果访问的网站与证书绑定的网站一致就可以通过浏览器的验证而不会提示错误。

二、SSL证书申请与规则

SSL证书可以向CA机构通过付费的方式申请，也有CA机构提供免费SSL证书如沃通CA。

CA机构颁发的证书有效期一般只有一年到三年不等，过期之后还要再次申请，在ssl证书应用中企业网站应用较多。但是随着个人网站的增多，以及免费SSL证书的推出，个人网站ssl证书应用数量也在飞速增加。在百度开放收录https网站后，预计https网站将迎来井喷。

在申请SSL证书时需要向CA机构提供网站域名，营业执照，以及申请人的身份信息等。网站的域名非常重要，申请人必须证明自己对域名有所有权。此外，一个证书一般只绑定一个域名，比如你要申请域名时绑定的域名是abc.com，那么只有在浏览器地址是https://abc.com的时候，这个证书才是受信任的。如果地址是https://www.abc.com或者https://login.abc.com，那么这个证书由于访问的域名与证书绑定的域名不同，仍然会被浏览器显示为不受信任的。

CA机构也提供申请通配符域名(例如*.abc.com)，通配符域名相当于绑定了主域名下的所有域名，因此使用起来非常方便，但是价格比其他的好贵，值得高兴的是目前国产CA沃通wosign推出了免费的多域名SSL证书，一张证书最多可绑定100个域名，并且还免费。

下面就来看看一个证书的信息：

在访问沃通CA官网的时候IE浏览器上会有一个小锁头，点一下那个小锁头再点击里面的“查看证书”就会出现上图的证书窗口，这里面我们可以看到这个证书只有一个用途——向远程计算机证明身份信息。在“颁发给”这一项就是这个证书在申请时绑定的域名;下面的“颁发者”是证书的颁发机构。最下面的两个日期是证书申请时间以及过期的时间。这里我们可以注意一下“颁发者”的信息，里面有“WoSign Class EV Server CA”的字样，表明了这个证书是一个EV SSL证书(扩展验证SSL证书)，EV SSL证书有个特点就是可以让浏览器的地址栏变绿，同时显示出来证书所属公司的名称，如下图所示：

EV SSL证书与其他的证书相比，安全性更高、可信度更高、审核更加严格，同时费用也更高，一般多部署在网上银行、网上商城、政府系统等安全性要求高的领域。

三、证书的验证过程

证书以证书链的形式组织，在颁发证书的时候首先要有根CA机构颁发的根证书，再由根CA机构颁发一个中级CA机构的证书，最后由中级CA机构颁发具体的SSL证书。我们可以这样理解，根CA机构就是一个公司，根证书就是他的身份凭证，每个公司由不同的部门来颁发不同用途的证书，这些不同的部门就是中级CA机构，这些中级CA机构使用中级证书作为自己的身份凭证，其中有一个部门是专门颁发SSL证书，当把根证书，中级证书，以及最后申请的SSL证书连在一起就形成了证书链，也称为证书路径。在验证证书的时候，浏览器会调用系统的证书管理器接口对证书路径中的所有证书一级一级的进行验证，只有路径中所有的证书都是受信的，整个验证的结果才是受信。我们还是以www.wosign.com这个证书举例，在查看证书的时候，点击“证书路径”标签就会有下图的显示：

根证书是最关键的一个证书，如果根证书不受信任，它下面颁发的所有证书都不受信任。

如果SSL证书验证失败根据浏览器的不同会有以下的错误提示，IE浏览器会有以下三点提示，同时也是SSL证书验证失败三点原因。

1、SSL证书不是由受信任的CA机构颁发的。

2、SSL证书过期。

3、访问的网站域名与证书绑定的域名不一致。

四、SSL证书的安全问题

对HTTPS最常见的攻击手段就是SSL证书欺骗或者叫SSL劫持，是一种典型的中间人攻击。以攻击为目的的SSL劫持如果不注意浏览器安全提示的话，很容易就中招。当网络中有中间人发起SSL劫持攻击时，攻击者需要伪造一个SSL证书发给浏览器，这个时候由于伪造的SSL证书不受信任，浏览器会给出风险提示，所以我们不要贸然访问有风险提示的网站。特别是在访问的是网银、在线支付等这类公司性质的网站的时候，因为这些机构一定会申请合法的SSL证书，一旦SSL证书不受信任，应该果断的终止访问，这个时候网络中一定会存在异常行为，对于一些小区宽带的用户一定要注意这点。

所以作为个人用户，你一定要知道你访问的是什么网站，如果你只是一个没有多少计算机知识的普通网民，如果你没有办法判断网络是不是有异常，只要是证书有问题的，干脆就别再访问了。

最后总结一下使用SSL证书要注意的问题：

1、除非必要，不要随意安装根证书。安装根证书的时候一定要明确证书的来源。

2、对于网银，在线支付，重要邮箱等网站，一定要确保SSL证书是没有问题的，如果浏览器给出SSL证书错误的警告，一定要拒绝访问。