上一篇
https使用的证书版本
HTTPS使用X.509 v3数字证书,基于TLS 1.2/1. 3协议实现加密传输与身份验证
HTTPS证书版本及类型详解
证书类型分类
HTTPS证书根据验证方式和信任等级分为以下三类:
| 证书类型 | 验证方式 | 信任标识 | 适用场景 |
|---|---|---|---|
| DV SSL | 域名所有权验证 | 无显著标识 | 个人博客、测试站点 |
| OV SSL | 域名验证 + 企业身份验证 | 点击查看详情 | 中小企业官网、普通电商平台 |
| EV SSL | 严格企业身份验证 | 绿色地址栏 + 企业名称 | 金融机构、大型企业、支付系统 |
加密算法与密钥长度
HTTPS证书依赖加密算法保障安全,常见配置如下:
| 加密算法 | 密钥长度 | 兼容性 | 性能表现 |
|---|---|---|---|
| RSA | 2048位 | 兼容所有浏览器 | 较慢,适合传统环境 |
| ECC | 256位 | 现代浏览器支持 | 更快,推荐新项目 |
| DSA | 不推荐 | 部分老旧系统支持 | 安全性较低,已逐步淘汰 |
证书有效期
- 标准证书:通常为1年或2年(Let’s Encrypt为90天)。
- EV证书:部分CA限制最长1年,需每年续签。
- 浏览器提示:证书过期前30天会触发警告。
浏览器支持的TLS版本
| 协议版本 | 支持情况 | 推荐配置 |
|---|---|---|
| TLS 1.0 | 已废弃(Chrome/Firefox停用) | 禁用 |
| TLS 1.1 | 已废弃(POODLE攻击风险) | 禁用 |
| TLS 1.2 | 广泛支持(AES-GCM/ECDHE) | 必须启用 |
| TLS 1.3 | 新版本支持(完美前向保密) | 优先启用(需服务器兼容) |
常见问题与解答
问题1:如何识别网站是否使用EV证书?
解答:
EV证书会在浏览器地址栏显示企业名称(绿色背景),https://example.com 会显示为 https:// example.com(公司名称),这是最高信任等级的视觉标识。
问题2:证书过期后如何紧急处理?
解答:
- 临时解决方案:立即申请新证书并替换,浏览器会暂时允许访问但标记“不安全”。
- 长期预防:设置自动续签(如Let’s Encrypt + Certbot),开启证书到期邮件提醒。
- 高风险场景:EV证书过期可能导致用户直接流失,需优先
