月度归档： 2021年11月

SSL代表安全插座层，是加密和保护从公司服务器发送到客户Web浏览器或计算机的数据的标准。当在线购物或制作重要的商业电子邮件时，重要的个人信息可能会被熟练的黑客窃取，黑客可以在发送过程中截获这些数据。幸运的是，SSL是一种旨在保护消费者和企业免受此保护的技术。现在，问题在于选择最合适的安全SSL证书，以确保客户正在处理安全站点。

供应商提供不同数量的保护和保证，以各种价格和包，以最符合个别企业的需求。当一个人接受使用电子商务服务的在线支付时，最强的加密和安全性水平对接受付款的业务非常有益。在与任何公司打交道时，加强安全级别还可以增强客户信心。

安全SSL证书附带保险，向客户保证，如果客户损失时发生欺诈行为，SSL供应商将发出退款。向客户保险的金额可能从1万美元一直到200万美元不等，具体取决于SSL证书所选的安全级别。潜在客户可以轻松识别安全级别以及他们通过保险所涵盖的金额对企业的信任度。

赢得潜在客户信任的有效方法是在商业网站上显示安全印章。一些SSL供应商在其服务中包括一个印章，以显示在网站上。这通常出现在潜在客户看到的着陆页或第一页上。确保潜在客户了解已到位的安全类型是与他们建立关系的重要组成部分。

选择合适的SSL证书的另一个非常重要但经常被忽视的部分是潜在供应商提供7×24支持。这可以防止巨大的问题的发展。缺乏7×24支持的SSL证书是一项风险投资，因为问题随时都可能发生，而且巨额资金可能在几分钟内就因欺诈而丢失。知道每当出现问题时，有人可以提供帮助是非常令人欣慰和实际的。

在为某个网站或企业选择最佳SSL证书时，涉及许多不同的因素，包括上述因素。为企业选择正确的证书非常重要，特别是如果此业务大多是在线操作的。要为公司选择最佳SSL证书，应考虑和满足公司的需求，并提供最合适的套餐。为了削减成本而损害客户的安全或信任从来不明智。

电子商务企业利用的每一个网络安全解决方案都将受到黑客的测试。SSL证书是当今网络安全的基础。但正如我们所知，自从锁的发明以来，窃贼已经适应了挑选锁：自从警报系统发明以来，窃贼已经适应了压制他们。没有安全系统，这些恶意方不会试图克服。那么，SSL证书安全性如何呢？

SSL证书安全性取决于证书管理和选择。并非所有证书机构都是平等的，不断研究和分析针对SSL的成功攻击的权威机构将是电子商务企业应该吸引的证书机构。黑客会利用服务器端到最终用户的任何弱点，即使SSL提供安全性，他们也可能找到一条出路。通过服务器端提供解决方案的SSL供应商应用SSL并提供修补程序和恒定时间计算，可帮助提高安全性。安全取决于解决脆弱领域的问题。

脆弱性区域

• CA机构-有超过600个证书机构，浏览器将信任，黑客需要做的只是找到一个他们能够闯入和系统可能会受到损害。
• CA机构附近的路由器-在CA附近将路由器泄露，可以允许攻击者读取传出的电子邮件、更改传入的域名系统数据包并中断域名验证。
• DNS服务器-如果该服务器由证书机构使用。或者，为受害者域名伪造条目。
• 网络协议-对网络协议的攻击可以通过TCP或BGP授予对受害者域的电子邮件的访问权限。
• 恶意证书-CA恶意为任何域名签发证书。

这样的事件意味着任何HTTPS网站的安全性都可能遭到破坏。SSL和证书机构必须接受测试，但正是CA正在努力修复这些漏洞，这些漏洞应该受到追捧。

成功/潜在黑客攻击活动

BEAST-（浏览器利用对SSL/TLS）已发现TLS版本1.0或更早的漏洞。许多浏览器上不支持1.1或更多版本。因此，易受攻击的版本可能允许黑客窃听PayPal、Gmail或其他网站。BEAST使用一块JavaScript和网络嗅探器解密Cookie并允许访问用户帐户。

Lucky13-（可能的攻击代理）：HTTP严格的运输安全（HSTS）是一项标准，用于帮助浏览器通过HTTPS连接到网站。没有它，用户可以访问HTTPS页面和登录，而无需它提供的安全性。一种名为SSLstrip的工具可能会欺骗Web浏览器和用户，使他们以为它们不在SSL或HTTPS保护的网站上。这所利用的漏洞之一是弱密码块链。

SSL证书将继续是网络安全的基础，但必须考虑这些新的和不断变化的风险，以便努力继续沿着前进的道路前进。

CA必须进行积极的研究和创新，以确保社会日益参与的电子商务世界。毫不奇怪，SSL将受到黑客的严密监视，他们试图以任何可能的方式获得优势，但正如我们所看到的，SSL已成为一个网络安全解决方案，足以迫使黑客考虑利用其他切入点。

鉴于这些威胁，符合客户日益提高的标准和要求的证书机构将保持SSL证书作为解决方案的完整性。

SSL加密应是任何网络安全战略的最低要求

SSL加密不仅仅是一个明智的决定，当你开始想出一个网络安全战略为您的网站-它实际上是一个要求。

就在我们进入加密的实际优点之前，我们将从这样一个事实开始：五年前，SSL加密实际上将成为所有网站的必备品。

您看，浏览器社区完全位于蓬勃发展的互联网市场内，以实现影响整个行业的变化。想想看，没有浏览器，你无法浏览全球网络——它们是互联网生态系统不可分割的一部分。

浏览器社区对此非常了解，这就是为什么它偶尔会齐心协力推动某种举措。例如，它现在决定将SSL加密作为基线安全标准。

至此，浏览器以微妙的方式完成了此任务。他们没有强迫任何人做任何事情，而是奖励了使用高级浏览器功能、SEO排名提升和访问HTTP/2实现SSL的网站。早在几年前，他们将主动标记任何没有SSL加密的站点为”不安全”。

当浏览器开始对未加密的网站实施侵入性警告时，这似乎很微妙，因为这些警告会主动阻止用户访问这些网站。当然，Chrome和Mozilla并没有用枪指着任何人的头部，强迫他们加密——他们只是威胁要让这些网站倒闭。想象一下，负视觉指标和阻塞性浏览器警告将做什么这些网站的流量，并扩大其转换率。

因此，即使没有正式出来授权，SSL加密现在是一个事实上的要求。

让我们来看看什么是SSL加密，它做什么，然后回答为什么你需要它。

SSL加密是什么？

SSL加密是一个过程，其中，使用PKI和SSL/TLS协议，通信的编码方式只有授权方才能解码。

这是必要的原因源于最初使用HTTP协议构建互联网的方式。HTTP，或超文本传输协议，与互联网一样古老。它是允许Web服务器和Web浏览器以预期方式通信和显示信息的通信协议。当您访问网站时，它并不存在浏览器中的外观。相反，它以一堆代码存在，这些代码被发送到您的浏览器，然后按设计者的意图进行视觉排列。

HTTP的问题在于它不安全。因此，任何知道如何（这是一个包括黑客和网络罪犯的团体）基本上可以窥探任何HTTP连接在互联网上。用外行的话说，这意味着通过HTTP，第三方可以随时阅读和操纵客户和服务器之间的通信。

加密通过HTTPS（HTTP的安全版本）为网站提供服务来处理此问题。通过HTTPS连接进行加密，这意味着通过这些连接交换的通信是安全的。这可以防止第三方进行间谍活动。如果您在网上开展业务，这意味着您正在从客户那里获取个人或财务数据，则您显然需要加密，否则您将客户置于危险之中。

SSL加密如何工作？

我们将为您提供真正的技术细节，而只需粗略地解释加密的工作原理即可。当浏览器到达网站时，它开始安装SSL证书。

然后，浏览器和Web服务器继续进行所谓的SSL握手。在早期阶段，浏览器正在验证该证书是否合法，这意味着该证书是由受信任的CA机构签发的，它仍然有效，并且它属于正在显示的网站。

浏览器验证证书是否合法后，会与Web服务器协商加密连接的条款。

现在，当您谈论SSL加密时，会出现两个关键对。第一个是不对称的密钥对：公共和私人密钥。这些不是实际处理大部分加密的密钥，而是用于身份验证的密钥。当浏览器测试SSL证书的合法性时，它要做的一件事就是检查以确保所涉及的SSL证书是公共密钥的合法所有者。它通过使用公共密钥加密一小包信息来达到此要求。如果服务器可以使用相应的私钥解密该信息并将其发回，则已证明它是公共密钥的合法所有者，并且所有内容都已退房。

如果没有，证书将被视为”不可信”。

另一个关键对是对称的，”会话键”。这些密钥是在SSL证书的合法性确定和加密条款协商后创建的。而公钥只能加密，私钥只能解密，而会话密钥可以同时执行这两个功能。

会话密钥实际上比不对称的密钥更小，而且从广度上讲也不太安全，但为了加密连接，它们将促进它们仍然足够强大。

浏览器和服务器将使用会话密钥在访问的其余时间进行通信。离开网站后，会话密钥将被丢弃，下次浏览器访问时将生成新的会话密钥。

为什么我需要SSL加密？

过去，人们普遍认为只有处理个人信息的网站需要SSL加密。

这是不对的。

除了现在需要，即使是不收集任何信息的小型网站也应该加密。为什么？除了基本的良好安全实践之外，还有您后端访问的小细节。你看，即使你的访客没有登录你的网站，你仍然这样做。您可能有一个控制面板或某种后端登录，允许您在您的网站上进行更改。这不应该得到保证吗？否则，任何人都可以很容易地窃取您的凭据并搅乱您的网站。

任何拥有网站的企业或组织都应具有安全性加密，并验证自己为合法公司。毕竟，在即将到来的每个站点都有加密的时代，脱颖而出将比以往任何时候都更加重要。

SSL相对便宜，它对保护您的网站和客户大有裨益。它建立信任。它甚至可以增加转换。

互联网可能是一个危险的地方：SSL加密使其更安全一点。

只是没有办法绕过它。您需要SSL加密。

你知道你需要SSL，但什么产品最适合你？

现在是2017年，这意味着浏览器正在授权您的网站迁移到Https。自GoogleChrome版本56发布时，浏览器已开始将服务于不安全HTTP的网站标记为”不安全”。

运行一个网站，谷歌已经标记为”不安全”就像试图经营一个餐厅，而你有一个通知，从城市卫生检查员永久录音到你的前门-它不会做得很好。

所以你需要SSL。这是您商业网站安全性的明智之举，您无法通过从Google或Mozilla获得负面的视觉指标而损害您的声誉。但是你怎么知道该选什么呢？

别担心，我们是来帮忙的！这是一个指南，将带您完成所有不同的事情，你需要考虑之前，作出购买。我们不会试图卖给你任何人证书，这篇文章只是信息。所以放松，通读，最后，你应该有一个想法，寻找什么。

哪个SSL证书最适合您的网站：您保护什么？
在考虑SSL证书时，您需要问自己的第一个问题是需要保护多少域和子域。这将有助于指导你所做的一切前进。您是否只有一个网站来保护，或者您的Web存在是否扩展到多个域？您有子域吗？

每个场景都有答案，这完全取决于你需要什么。

哪些SSL证书最适合您的网站：单域SSL证书
假设您是一家只有单个域名且没有子域的小公司。您需要购买单个域名证书-这是其中的大部分。现在，您需要确定您需要的验证级别。

下面是很多SSL零售商不想告诉你的：加密强度不会因验证级别而异。所有SSL证书提供相同级别的数字加密，有行业授权的标准。不同验证级别的原因是一些公司需要验证哪些内容，以便他们能够利用SSL的力量来帮助确保客户的身份。

记住，互联网是一个危险的地方。很多黑客和网络罪犯通过欺骗网上的人赚了很多钱。他们瞄准了各种规模的企业。据赛门铁克称，90%的公司和71%的中小企业成为攻击目标。

SSL可以通过其身份验证流程帮助抵御这种危害。这完全取决于你想要多少验证。有三个级别：

域名验证-这是最低级别的验证，您必须简单地证明您拥有注册的域名。DVSSL越来越不值得信任，因为免费SSL服务使网络罪犯更容易将DV证书添加到其网络钓鱼网站。这反过来又会导致浏览器将网站标记为”安全”。这是一个越来越普遍的危险趋势。
组织验证-这是验证的中间级别。颁发SSL证书的CA将进行轻松的业务审核，并将经验证的业务详细信息提供给SSL证书详细信息，供所有人查看。OVSSL的问题在于，经过验证的信息用户很难找到，外在视觉指标与DV相同。
扩展验证-这是验证的最高水平。它需要完整的业务审查;它将在地址栏的URL旁边显示公司名称。EVSSL提供身份的即时保证。根据在线确定身份的重要性，您需要选择适当的验证级别。
根据在线确定身份的重要性，您需要选择适当的验证级别。

哪些SSL证书最适合您的网站：多域名SSL
假设您需要保护多个域。不要害怕，有一个简单的解决方案：多域SSL证书。这些是使用主题替代名称（SAN）字段的SSL证书。当您选择多域SSL证书时，您将主网站的名称列为CSR生成过程中的完全合格域名，然后将每个附加站点列为SAN。

当CA发出证书时，所有列出的域名都将由它覆盖。多域SSL可在所有验证级别上使用。

哪些SSL证书最适合您的网站：子域
现在，假设你有一个包含子域名的网站，不要担心它也会被覆盖。在这种情况下，您将需要使用通配符SSL证书。通配符是巧妙的，它们可以确保与域同时使用无限数量的子域。填写CSR时，只需使用星号即可代替子域所处的级别（例如*.domain.com）。

当CA颁发证书时，所有现有的子域都将包括在内。最重要的是，如果您添加了新的子域，而SSL证书仍然有效，所有你需要做的就是重新发行它，它将覆盖新的子域。不幸的是，EV中没有通配符。

哪种SSL证书最适合您的网站：多个域和子域
每种情况都有SSL证书。多域通配符可以保护多个域和无限子域。这一切都是由于通配符SAN字段。通配符SAN字段功能是双向的。列出完全合格的域名，以确保整个域名的安全，或使用星号并保护域名及其所有子域。

决定取决于你和你的生意。我们只是想确保你拥有所有的信息。

提前更新没有坏处，你甚至可以保留剩余的时间

我们有很多关于SSL证书更新的问题。像为什么SSL证书过期之类的东西？我为什么要提前更新？如果我的证书过期了怎么办？

这些都是好问题。让我们回答他们三个。

为什么SSL证书过期？

让我们从查看为什么您需要更新SSL证书开始。这是一个有效的问题，可能是我们最常被问到的问题。不，这不是一些骗局的一部分，让你支付。如果发行SSL的证书机构（CAs）希望保持您支付，那么SSL将成为每月服务，无论如何，您每个月都会付费。

不，到期实际上与经济学没有多大关系。归根结底有两件事，真的。一是新技术和升级的激增，二是需要保持最新的信息以进行验证。

至于激增的新技术和升级，它非常有意义，为了保持客户最新的最安全的哈希算法和加密优势，您偶尔需要升级。不幸的是，如果证书没有过期，很多人永远不会。这将使整个互联网不那么安全，并破坏人们对加密的信心。通过确保证书至少每两年到期一次，您可以确保每个人都能保持其实施至少在某种程度上是最新的。在过去几年中，SSL行业已经弃用了SHA-1，如果没有证书到期，这是不可能的。

另一个原因同样实际。与任何其他身份证明形式一样，您偶尔需要签到才能提供最新的身份信息。驾驶执照过期，护照过期，这是正常的。思想SSL通常以它提供的加密来讨论，它提供第二个广告较少的功能：身份验证。SSL证书显示您访问的网站所有者的身份信息。为了让CAS继续提供此识别信息，他们需要偶尔验证其是否仍然准确。因此，到期。

为什么我应该在SSL证书过期之前更新它？

您可以在证书到期前三个月更新证书。但是你应该吗？

是的！

首先，你没有什么可失去的提前更新。很多人错误地认为，如果他们提前更新，他们会失去时间关闭他们以前的证书。那是错的，你可以携带长达三个月的时间到你的新证书。没错，新证书的有效期为12个月和24个月，外加您上次证书上剩余的时间。这意味着您最多可获得27个月的DV、OV和EVSSL证书有效期。

除此之外，证书到期并不是你想搞砸的事情。等待的时间越长，暴露的风险就越大。请记住，”续订”有点用词不当，您仍在购买新的SSL证书，您只是利用旧的验证信息来加快流程。这就是说，它可能仍然需要一两天的时间来发出您的新SSL证书，所以如果你等到它到期的前一天，你可能会有麻烦。

不要等待，只要你收到关于更新的通知，就去做吧。你没有什么可失去的，因为早做，但很多失去等待。

如果我的SSL证书过期，会发生什么情况？
大规模灭绝。

不，只是开玩笑而已。虽然它可能是灾难性的。如果您的证书过期，您的网站访问者将受到警告，说明您的证书已过期。这是他们脸上的正招呼。这就像如果你走进一家餐馆，在你到达女主人之前，有人递给你一张大纸条，通知你这个地方没有按时付房租。不好看。您的网站还将在地址栏中收到”不安全”的视觉警告。当然，您的连接将不再安全。

更何况你将不得不再次通过整个验证过程，而不是能够跳过几个步骤。

听着，更新真的不应该是麻烦。早点处理好就不用担心了。就像我们说过的，提前更新没有什么可失去的，但如果你等待的话，损失很多。

建立客户信任的最佳方式是EV SSL证书

我们生活在一个互联网已经成为我们日常生活不可分割的一部分的时代。不幸的是，这意味着我们都精通使用互联网带来的风险。如今，人们对自己的隐私和保护敏感信息非常警惕。

这也是任何企业主都记得的重要细节。当您在线操作之前，您可以在转换方面取得任何进展，您需要建立信任。无论您的转换是什么-从简单地点击链接到购买一台新电视-您的客户必须信任你之前，他们做任何事情。

绝对没有什么在互联网上比扩展验证EV SSL证书更好，更值得信赖的第一印象。

让我们来谈谈身份验证

扩展验证（EV）SSL证书提供最高水平的身份验证。但是什么是身份验证，为什么你需要它呢？

身份验证是SSL的另一个通常不太公开的方面。当公司或组织申请SSL证书时，必须经过认证。认证有三个级别：

• 域名验证（DV）-要求您简单地证明对注册域的所有权。
• 组织验证（OV）-要求公司或组织接受轻业务审查。
• 扩展验证（EV）-要求公司或组织接受广泛的业务审查。

基本上，身份验证是身份证明。这是一个网站证明这是合法文章，由合法注册的企业经营，而不是，比如说，一个虚假的网站，创建窃取他们的个人信息（这被称为网络钓鱼）。

现在，你可能认为这种情况从未发生过，但根据CA安全委员会的数据，虽然90%的大公司和公司已经处理了网络攻击，71%的中小企业也成为攻击目标。根据国家网络安全联盟的数据，60%的受害小企业在攻击后六个月内就倒闭了。

网络钓鱼是网络罪犯最常用的策略之一。真正防止它发生在你身上的唯一方法是使用商业认证（OV或EV）SSL证书。

为什么身份验证很重要？

正如我们在上一节中提到的，在当今这个时代，网络钓鱼是一个真正的风险。而且这种风险只会增加。2017年，以谷歌Chrome56发布为标志，浏览器将推动一项旨在让整个互联网加密的举措。这是一件好事，因为任何人都不应该能够窃听别人的联系，但它也有助于-连同少数其他因素-气候是完美的网络钓鱼。

谷歌现在也把所有具有加密的网站（在DV和OV级别）标记为”安全”。很快，随着新的二元文件出现，互联网用户可能会发现自己陷入一种虚假的安全感。网站都将被标记为”安全”或”不安全”。这有利于人们一种心态，即只要在地址栏中看到网址旁边的”安全”指示器，人们就会认为站点是安全的。

这一切变得危险的是，加密整个互联网的主动性已经催生了几个免费SSL证书。这些服务很棒，他们的意图是高尚的，但往往人手不足，缺乏资源和基础设施来防止向网络罪犯颁发证书。例如，让我们加密只检查谷歌的黑名单，然后再发布。因此，只要一个网站没有被列入黑名单，它就可以获得免费SSL证书，当安装时，将导致该网站被贴上”安全”的标签，只要谷歌需要标记它们（在某些情况下，这可能需要长达几个星期）。

可以想象，今年网络钓鱼将创历史新高。保护客户（和品牌）的唯一方法是企业认证。

但并非所有业务认证都是平等的。

为什么EV SSL证书是最佳选择

扩展验证SSL具有唯一的视觉指示器，即网址/地址栏中的验证业务名称。这一点很重要，因为它意味着它提供了您公司经过验证的身份的即时、不可否认的视觉确认。在到达后的一秒钟内，只需一眼，客户就可以立即验证您是谁，并且他们是安全的。那是一个很好的第一印象！

现在，OV SSL证书提供类似的优势，因为它确实显示有关您公司或组织的验证业务详细信息。但是，这里的关键是：人们需要知道去哪里找。

没错，获得OV SSL证书理想情况下需要教育客户如何检查证书详细信息以验证身份。那可能有点头疼。你看，问题是OV和DV共享相同的视觉指标。对于未经训练的眼睛，它们看起来完全一样。一旦人们开始意识到”安全”指标并不意味着它们是安全的，并且无法轻松区分OV和DV站点，EV将拥有更大的优势。

这是因为EV SSL提供即时视觉保证。您不必依赖客户单击挂锁图标或搜索证书详细信息。你只需要让他们出现在你的网站。

更别提边缘优势了，比如EV SSL使您的品牌与最佳品牌保持一致。EV SSL经常附带其他高级功能，如恶意软件扫描仪和漏洞评估，这些功能可以使您的网站更加安全。

根据研究，EV SSL被证明可以促进转换，这意味着它更像是一种投资，而不是一种支出。

现在不是尝试在网络安全上省钱的时候，向您的客户展示您通过EV SSL对其安全进行了投资。

什么是SSL？随着谷歌和其他浏览器社区在2017年开始强制加密，许多网站所有者不得不问这个问题。

如果你没有注意，下面是即将发生的事情的快速总结。以谷歌和Mozilla为首的浏览器社区处于独特的地位，能够将其条款强加于互联网的其他部分。除非你非常精通技术，否则你需要一个浏览器来上网——这对几乎每个人都是这样。没有浏览器，您无法访问网站，网站完全依赖于这些浏览器来允许访问者访问它们。

浏览器也敏锐地意识到了这一事实，他们利用自己的位置来影响他们想在互联网上看到的变化。浏览器的最新举措是通用加密。他们希望每个网站都通过HTTPS提供服务。

那么，SSL如何融入这一切呢？那么，您需要在Web服务器上安装SSL证书，并配置您的网站，以便HTTPS开始与访问者进行加密连接。SSL协议为加密提供了便利。所以，长话短说：SSL现在是必需的，以免您的网站被浏览器标记为”不安全”。

因此，让我们来谈谈SSL证书。

验证级别

让我们从一些基本的东西开始：所有SSL证书都提供相同的行业标准级别的加密。免费SSL证书和几万元的SSL证书都提供相同级别的连接安全性。

那你为什么要花几万元呢？

那是因为SSL执行两个功能。第一个比较知名的功能是加密。它通过加密保护连接。第二，较小的预示功能是身份验证。SSL可以提供身份的明确证明，随着网络钓鱼和网络犯罪的日益猖獗，身份证明变得越来越重要。

验证级别有三种不同：各有各的长处和短处。

域名验证（DV）SSL证书-绝大多数SSL证书是域名验证。那是因为它是最容易得到的类型。要获得DV证书，您需要做的就是证明对域名的所有权。DV可在几分钟内发出。对于只需要简单加密的小型个人网站和博客来说，这是一个不错的选择，但企业应该投资于业务身份验证，而不是DV。

组织验证（OV）SSL证书–是SSL证书的原始类型。DV的创建是为了扩展对加密的访问，而EV的创建是为了提供更大程度的身份验证。但OV是原来的。组织验证要求公司或组织接受轻业务审核，作为回报，证书上包含经过验证的业务详细信息，并且任何知道如何查找它们的人都可以查看。OV的问题在于它显示的视觉指标与DV相同，并且大多数用户不知道如何查找经过验证的业务详细信息。

扩展验证（EV）SSL证书-扩展验证提供最高级别的身份验证，公司或组织必须经过广泛的审核（不要担心，如果您的企业手头有最新的注册信息，这并不像听起来那么密集），但作为交换，EVSSL授予了唯一的视觉指标：网址中的业务名称。这将将您企业经过验证的名称和原籍国放在地址栏的URL旁边，从而提供无可指责的身份证明。EVSSL的唯一缺点是价格，但研究表明，EV可促进流量和转换，并最终为自己买单，因此它实际上更像是一项投资。
现在，我们已经覆盖了验证级别，让我们进入特定类型的SSL证书。

多域/SANSSL

公司和组织与SSL合作遇到的最常见问题之一是购买SSL证书以涵盖其所有不同领域的成本和管理负担。幸运的是，除了单个域SSL证书之外，还有一系列选项来帮助加密多个站点、子域等。

我们将从多域/SAN证书开始。顾名思义，这些证书能够同时加密多个域。您可以在单个证书上加密的最大域数因CA而异。

以下是它的工作原理，当您购买SSL证书时，您需要生成包含创建SSL证书所需的所有信息的证书签名请求（CSR）。通常，您会列出要在完全合格的域名（FQDN）字段中加密的域名。多域SSL也是如此，但在这种情况下，您还将在主题替代名称（SAN）字段中包含您要覆盖的每个额外域名的完整域名。当CA发出证书时，它可以安装在所有列出的域名上。

大多数多域SSL证书都附带了2-4个Sans;必须根据需要购买额外的SAN。

通配符SSL

那么，您可以使用单个SSL证书加密多个域，但子域呢？如果您只拥有单个域名，您需要购买SAN来加密一堆子域吗？不！子域有专门类型的SSL证书。

叫做通配符

通配符SSL是一种功能极其通用的证书类型，它可以在单个证书上加密无限数量的子域。说真的，和你一样多。并且您不会像在多域中那样按子域付费，只需购买一张通配符，它涵盖了所有内容。最重要的是，您甚至可以在购买通配符后添加子域，只要您重新签发证书，它也会保护新的子域。

下面介绍它的工作原理，在CSR生成过程中，您使用星号来代替您想要加密的子域级（即*.domain.com）。通配符发出后，该级别的所有子域名都将加密。

要记住以下几点，如果您想要加密不同域级别的子域，则需要多个通配符。此外，通配符SSL在EV中不可用，因此，如果您想要经企业验证的通配符解决方案，您必须满足于OV。

多域通配符SSL

最后，我们有多域通配符SSL证书。顾名思义，这是一种全行业覆盖最广证书类型，既具有通配符功能，又具有多域证书功能。

它的工作方式是使用通配符SAN。您还可以选择使用星号代替要加密的子域级的域，而不是作为传统的SAN字段运行。多域通配符可以同时加密多达250个域和无限数量的子域。

这是一个快速运行在不同类型的SSL证书。SSL是一款非常重要的产品，不仅用于保护您的网站，还用于与客户建立信任。

希望本文能帮助您确定哪种SSL证书最适合您。

SSL证书过期，是您应该了解的关于SSL证书的基本事项之一

这是一个我们一直需要面对的问题：为什么SSL证书过期？

毕竟，SSL不是易腐的。它不像一盒牛奶或一条面包，它本身不会坏。但是，实际上仍有充分的理由限制SSL证书的使用寿命。

让我们来看看：

原因1：用于识别目的

SSL最好的比喻之一是护照或驾驶执照，为了这个练习，我们将与驾驶执照。驾驶执照和SSL证书具有两个主要功能。一方面，驾驶执照为您提供了进入道路的机会，并赋予您在道路上行驶的能力。SSL通过SSL协议促进加密，它基本上允许您使用安全连接。一种是过境车辆：一个是数据在运输中，让我们不要试图深入到这个比喻。

它们所服务的另一个功能是验证身份。发证机构CA偶尔需要您回来办理延期手续，以便他们能够随时记录有关您的最新信息。

这一点在网络安全领域尤为重要。默认情况下，我们用于浏览Web的浏览器不信任单个网站。浏览器旨在保护用户的安全，正因如此，他们对每件事和每个人都持怀疑态度。要使浏览器信任网站，它需要看到已被受信任的第三方进行身份验证。

CAS代表该值得信赖的第三方。要成为一个值得信赖的CA，您必须遵守CA/B（作为行业监管机构）规定的严格标准，CA犯的任何错误都可以而且将会被用来对付它。这意味着，在它发行的网站上保留最新的信息也符合CA的最佳利益，因为无论出于何种意图和目的，它们都为这些网站的身份提供担保。

通过让您至少每年更新一次，CA可以确保它拥有其向其发布的公司或组织的准确识别信息，同时确保公司仍然拥有注册域名。

到期和续期只是允许在CA方面保持良好的安全。

原因2：过期允许SSL加密技术向前发展

SSL证书需要过期的另一个原因是技术原因。在SSL/TLS协议和一般加密技术方面，正在定期取得进展。在接下来的几个月里，SHA-1散轴算法将完全被弃用，TLS1.3将被释放。

这是两个主要的变化。SHA-1多年来一直被认为是易受攻击的，并且已被更安全的SHA-2算法所取代。TLS1.3是TLS协议的全新版本。为了尽可能安全，需要通过SHA-2加密和TLS1.3实现SSL。

现在想想如果SSL证书从未过期会发生什么。是的，当然，通过重新签发证书可以更新，但说实话，很多公司和组织都会安装一次SSL证书，直到证书过期。

因此，未过期的SSL，甚至有效期超过一年的SSL（您以前最多只能使用五年），最终也会变得不安全。过时的旧密码、过时的哈希算法和其他实现问题将司空见惯。SSL生态系统作为一个整体将是一个功能混搭，因为具有较新证书的站点将比具有较旧证书的站点安全得多。

最终，它到达一个点，浏览器将开始删除对各种过时功能的支持和有效的SSL证书将变得毫无用处，因为他们不能再使安全连接。

让SSL证书过期可以避免这一切。通过要求每个人至少每年购买一次新证书，它迫使网站不断调整最新、最安全的技术。

“加密”这个词会在你的脑海敲响任何警钟吗？当然，确实如此。当然，您可能没有最深入的加密知识。但它也没有乍看起来那么复杂。

您不需要成为加密专家即可理解甚至实施加密。基本上，加密是一种技术，通过它，您的敏感数据被变成一个不可读的格式。无论是网站、应用程序、本地文件，甚至USB闪存驱动器，加密都处处使用。

误区1：加密只针对大型企业

这是与加密相关的最常见的神话之一。这可能是由于我们只听到大型企业成为黑客攻击目标的消息。这又不是真的。事实上，与大男孩相比，小企业的目标更多。根据一项研究，43%的网络攻击针对的是小企业。这主要是因为他们的系统防御薄弱，这正是网络罪犯所寻找的。

不管你的生意有多小，你仍然需要加密。

误区2：加密难以实现

让我们来谈谈加密-SSL证书的最广泛使用。SSL证书安装在Web服务器上，以保护Web浏览器和正在访问的网站之间来回传输的数据。许多网站所有者仍然认为，在其服务器上安装SSL证书需要专业知识。这只不过是个神话。如果您按照SSL提供商的说明操作，安装它不会遇到太大问题。即使您在安装过程中确实遇到问题，他们的客户支持也可以帮助您。如果你想安全地玩它，不想自己安装，我们甚至可以为你做的名义费用。

误区3：加密减慢系统速度

许多人以此为借口反对使用加密。在当今时代，这个论点没有任何水分。台式计算机、手机和平板电脑可以处理加密，而不会显示任何滞后迹象。这要归结于过去几年处理器技术的重大改进。这些处理器配备了现代AESNI技术。该技术显著加快了加密和解密过程。据估计，加密速度提高了3倍，解密速度提高了10倍。

误区4：加密数据是防弹的

的确，破解加密密钥几乎是不可能的。尽管如此，肇事者还是设法破坏了安全。这种情况经常是由于人为错误造成的。其背后的主要原因是钥匙管理不善。许多组织将密钥存储在集中的地方。有些用户甚至使用云服务器来存储其密钥。两者都是对网络罪犯的公开邀请。

误区5：加密成本高

许多用户和组织倾向于远离加密，认为加密成本太高。再说一遍，不是真的。在我们的网站上，您可以在SSL证书上获得71%的额外折扣。当然，其他一些加密软件和应用程序起初可能看起来成本高昂。但你必须考虑未来。这是一项比什么都重要的投资。想象一下，如果发生数据泄露，成本。忘记诉讼和你的声誉，它可能会对贵公司的存在构成风险。你当然不想那样，是吗？

最好不要担心成本，并在系统上部署加密。