SSL/TLS加密传输与数字证书解读

什么是ssl？

secure socket layer(ssl)协议最初由netscape企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于ssl技术已建立到所有主要的浏览器和web服务器程序中，因此，仅需安装数字证书，或服务器证书就可以激活服务器功能了。

什么是服务器证书？

服务器证书是安装在你的web服务器上，你可将服务器证书视为一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明，且可以通过服务器证书进行具有ssl加密的通讯过程。

服务器证书如何操作？

用户连接到你的web站点，该web站点受服务器证书所保护。（可由查看 url的开头是否为"https:"来进行辩识，或浏览器会提供你相关的信息）。

你的服务器进行响应，并自动传送你网站的数字证书给用户，用于鉴别你的网站。

用户的网页浏览器程序产生一把唯一的"会话钥匙码"，用以跟网站之间所有的通讯过程进行加密。

使用者的浏览器以网站的公钥对交谈钥匙码进行加密，以便只有让你的网站得以阅读此交谈钥匙码。

现在，具有安全性的通讯过程已经建立。这个过程仅需几秒中时间，且使用者不需进行任何动作。依不同的浏览器程序而定，使用者会看到一个钥匙的图标变得完整，或一个门栓的图标变成上锁的样子，用于表示目前的工作阶段具有安全性。

什么是ssl证书?

ssl是一种协议，为了能够使用ssl协议，组织或企业需要一张ssl证书。ssl证书是一种小型的数据文件，内含有关您企业组织详细信息的密钥通常包含：

1、您的域名或服务器名
2、您公司的名称及地址
3、在某些情况下，您的详细联系方式

为了激活浏览器的ssl传输功能，企业组织需要申请并在其服务器上安装ssl证书。根据申请的证书种类，企业组织需要经过不同级别的审核。一旦证书安装完毕，就能够通过https://www.domain来访问网站，通过这样的地址访问，会告诉服务器与浏览器间建立安全的连接。一旦当安全连接建立完毕，服务器与浏览器之间的所有数据传输都是安全可靠的。

ssl
证书必须由可信任ca的根证书颁发。为了使证书可信任，用户的终端机器上必须装有该ca的根证书。如果该证书不可信，浏览器将会向终端用户显示证书不可信的错误信息。在商务情况下，这样的错误信息会立即造成用户对网站缺乏信任，因此使用不可信任证书的站点，正冒着失去大多数用户信赖及商业机会的风险。

globalsign公司，是可信任的ca机构。这是因为各大浏览器和操作系统供应商，如microsoft、mozilla、opera、blackberry、java
等，均相信globalsign是合法的ca，是可信赖的ssl证书颁发机构。ca将它的根证书预埋至越多的应用程序、设备以及浏览器，其颁发的ssl证书就能越好的被识别。

根预埋策略--确保您的每一位客户获得最直观的安全保护

globalsign进行根证书预埋计划已经超过10年之久。此计划确保来自于美国、英国、欧洲大陆和亚洲的内部工程师，能够和应用程序、设备及浏览器供应商保持持续的沟通，以确保globalsign的根证书能够安装在每一个可能使用ssl传输的地方。

总结：

比如，服务器没有安装来自某个公司的数字证书，那么，他的中间件中的SSL/TLS模块就没法激活，不能使用（其实证书公司与SSL开发组织及微软肯定有莫大的关系），如果客户端（浏览器）没有安装与某网站服务器要求的SSL数字证书，也没法访问该网站，前提是该浏览器激活了SSL/TLS模块（通常，这种激活是免费的，因为浏览器通常都是免费的）。

比如，如果你服务器SSL未激活，那么，你的域名只能是以HTTP而不是以HTTPS开头的域名，如果，你的客户端（浏览器）没有开启SSL/TLS支持，或没有安装相关网站的数字证书，那么就无法访问HTTPS的相关网站。

比如：禁用客户端（IE浏览器）SSL/TLS协议

大家应该明白了吧！