如何判断SSL证书的安全性高低？越贵越好？懂点原理会少花冤枉钱

https并不是一个单独的协议，只不过在HTTP的基础上用TLS/SSL进行加密，这样通信就不容易被拦截和攻击。那么现在市面上的各种SSL证书，如何去选择呢？新手站长或网络运维人员怎么去挑选合适的SSL证书，拿到只买贵的就行了？

想要判断一个品牌的SSL/TLS证书是否安全性高，首先就要了解他的技术原理。弄懂了原理，自然就知道了如何运行的，这样你就能从更加深入的视角去思考和判断，而不是人云亦云和不知所然。

对称加密和非对称加密

加密有各种各样的方式，例如两个人交流，不想被别人知道什么意思，就可以采用倒念的方式来混淆。“倒念”在这个过程里就是属于加密方式。

上面这种就是属于对称加密。如果有第三方知道加密的规则，那就相当于没加密了，很容易破解。

于是就有了”非对称加密“的这个技术。这里就存在公开密钥和私有密钥。A和B之间传输的信息有两个，一个是B的公钥，一个是B公钥加密的密文，由于B的私钥没有出现在通信内容中，因此C无法对密文进行解密。

1、假设A要给B发一条信息，A是发送者，B是接收者，窃听者C可以窃听他们之间的通讯内容。

2、B生成一个包含公钥和私钥的密钥对
私钥由B自行妥善保管

3、B将自己的公钥发送给A
B的公钥被C截获也没关系。
将公钥发给A，表示B请A用这个公钥对消息进行加密并发送给他。

4、A用B的公钥对消息进行加密
加密后的消息只有B的西药才能够解密。
虽然A拥有B的公钥，但用B的公钥是无法对密文进行解密的。

5、A将密文发送给B
密文被C截获也没关系，C可能拥有B的公钥，但是B的公钥是无法进行解密的。

6、B用自己的私钥对密文进行解密。

 

现在最常见的加密方式便RSA算法了，这种算法综合对称加密和非对称加密，加密和解密过程如图所示：

大致了解了加密和解密的原理之后，再来看看啥事SSL证书，SSL证书其实就是保存在源服务器的数据文件。要让SSL生效，就需要向CA申请。这个证书除了表明域名、时间等信息之外，还包括了特定的公钥。生效后，就可以用https作为前缀进行访问了，浏览器也会把HTTP的默认端口80改为HTTPS的默认端口443。

等这些配置好之后，就是SSL/TLS握手的过程。这里不再详细赘述。

免费or付费？

SSL证书有免费和付费之分。毋庸置疑，免费的SSL证书安全性肯定比付费的要低。据我所查，各种SSL证书的基本原理都差不多，甚至算法都是基于SRA算法。那些贵的SSL证书，更多的是卖保险，而不是证书，例如那些证书会有多少的赔偿条约，要是因为SSL证书不安全导致的损失。这对于个人站长而言必要性不是很大，一般都是那些大企业所需求的。

但是，有的地方不是贵的就合适。

对于个人站长而言，免费的就够了。或者便宜点的付费证书也值得选择。

在《Typecho个人博客SSL证书不够用的N种免费解决方案》一文中，就介绍了一些免费且正规的SSL证书申请。

由正规的CA机构颁发的SSL证书又分为三种不同的验证方式，即DV、OV、EV。这三种验证方式的SSL证书安全性也是不一样的，排列一下高低就是EV＞OV＞DV。

这仅仅是对于个人站长而言。现在一切都应该走向付费，毕竟天下没有免费的午餐。

但是现在的SSL证书市场还是挺杂乱的，那些大牌的很多非企业类的根本买不起，少则大几百高则好几千一年。在《SSL证书为什么价格差距那么大？哪款SSL证书的性价比高?》一文中也简单统计了一些证书及类型对应的价格。

如果对付费的SSL证书感兴趣，这里我建议一个性价比很高的国产品牌——JoySSL。网盾数科旗下品牌JoySSL是专业的https安全方案服务商，业务涉及网络安全技术服务、安全防护系统集成、数据安全软件开发等。

而且有很多可以无限续签的免费SSL证书，类似于Let's Encrypt那种，虽然每次只有90天,申请地址:

SSL证书申请_SSL证书购买_https证书申请_https证书购买-JoySSL

付费版的我个人觉得也是非常良心了，价格不贵。单域名的只要一百多块钱一年，并且提供全程的售后。感兴趣的小伙伴可以去看看：

JoySSL证书选购

---

▶ 本网站名称：陶小桃Blog
▶ 本文链接：如何判断SSL/TLS证书的安全性高低？越贵越好？懂点原理会少花冤枉钱-陶小桃Blog
▶ 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长进行核实删除。
▶ 转载本站文章需要遵守：商业转载请联系站长，非商业转载请注明出处！！