九八云安全HTTPS证书的基本体系
证书颁发机构(CA)
HTTPS证书由受信任的第三方机构(称为证书颁发机构,CA)签发,用于验证服务器身份,CA分为两类:
证书组成结构
一个完整的HTTPS证书包含以下核心字段:
验证方式
申请证书时需通过以下方式证明身份:
- 域名验证(DV):
- 方式:DNS记录修改、文件上传或邮件验证。
- 示例:在域名解析中添加特定TXT记录(如
_acme-challenge.example.com)。
- 组织验证(OV/EV):
- 额外步骤:提交企业营业执照、法人身份证明、联系方式等。
- EV需人工审核,确保企业实体真实存在。
证书有效期与续期
| 证书类型 | 最长有效期 | 续期规则 |
|---|---|---|
| DV SSL | 90天 | 自动续签(如Let’s Encrypt) |
| OV SSL | 1-2年 | 需重新验证域名和组织信息 |
| EV SSL | 3-5年 | 需重新提交企业资质 |
相关问题与解答
问题1:为什么HTTPS证书需要定期更新?
解答:
- 安全风险:长期有效的私钥可能被破解(如SHA-1算法已被淘汰)。
- 技术迭代:浏览器和CA会淘汰旧算法(如1024位RSA),强制更新以提升安全性。
- 信息变更:企业信息(如域名、公司名称)变动时需重新验证。
问题2:浏览器提示“证书不安全”的可能原因有哪些?
解答:
- 证书过期:超过
Valid To时间未续期。 - 域名不匹配:证书绑定的域名与访问的URL不一致(如
.example.com不能覆盖api.example.com)。 - 自签名证书:未被公信CA签发,浏览器默认不信任。
- 证书链不完整:缺少中间证书导致无法验证CA合法性
