SSL 證書是安裝在 Web 伺服器上的數字檔案,它做兩件事:證明伺服器身份(認證)和啟用加密連線(HTTPS)。當站點有有效的 SSL 證書時,其 URL 以 https:// 開頭,瀏覽器顯示鎖頭圖示。
“SSL 證書”這個術語仍然普遍使用,但底層技術現在是 TLS(傳輸層安全)——SSL 於 2015 年棄用。當人們說”SSL 證書”時,他們指的是 TLS 證書。
SSL 證書內包含什麼
SSL 證書是一個 X.509 檔案,包含:
| 欄位 | 示例 | 用途 |
|---|---|---|
| 主體(CN/SAN) | example.com、www.example.com | 證書有效的域名 |
| 公鑰 | ECDSA P-256 或 RSA 2048 金鑰 | 在 TLS 握手中用於建立加密 |
| 簽發者 | Let’s Encrypt、DigiCert | 簽名證書的憑證授權機構 |
| 有效期 | Not Before / Not After | 此期限後證書過期(LE 為 90 天) |
| 序列號 | 唯一十六進位制字串 | 標識此特定證書 |
| 簽名 | CA 的數字簽名 | 證明證書未被篡改 |
| 金鑰用途 | Digital Signature、Key Encipherment | 證書可用於什麼 |
伺服器儲存一個匹配的私鑰,可以解密用證書公鑰加密的資料。這個金鑰對是 HTTPS 加密的基礎。
SSL 證書如何工作
當你訪問 https://example.com 時:
- 瀏覽器請求伺服器的 SSL 證書
- 伺服器傳送證書(包含其公鑰)
- 瀏覽器檢查:證書是否過期?域名是否匹配?是否由受信任的 CA 簽名?
- 如果有效,瀏覽器使用公鑰協商共享會話金鑰
- 所有流量用會話金鑰加密——中間沒人能讀取
這在毫秒內完成。完整技術詳解 →
SSL 證書型別
按驗證級別
| 型別 | 驗證內容 | 瀏覽器顯示 | 費用 | 適合 |
|---|---|---|---|---|
| DV(域名驗證) | 域名所有權 | 鎖頭圖示 | 免費(Let’s Encrypt) | 90%+ 的網站 |
| OV(組織驗證) | 域名 + 組織 | 鎖頭圖示(相同) | $50-200/年 | 企業合規 |
| EV(擴充套件驗證) | 域名 + 詳細組織審計 | 鎖頭圖示(相同) | $100-500/年 | 特定監管需求 |
三者提供完全相同的加密。區別在於 CA 驗證你身份的程度——不是加密有多強。詳細對比 →
按域名覆蓋
| 型別 | 覆蓋 | 示例 |
|---|---|---|
| 單域名 | 一個特定域名 | example.com |
| 萬用字元 | 域名 + 所有子域名 | *.example.com |
| 多域名(SAN) | 多個特定域名 | example.com + example.org |
如何獲取 SSL 證書
最快的方式——免費、無需安裝:
GetHTTPS 使用 Web Crypto API 在你的瀏覽器中生成私鑰——它永遠不離開你的裝置。完整分步指南 →
私鑰 vs 證書——區別
人們經常混淆這些:
| 檔案 | 是什麼 | 需要保密? |
|---|---|---|
私鑰(privkey.pem) | 留在伺服器上的金鑰。解密傳入資料。 | 是——永遠不要分享 |
證書(cert.pem) | 傳送給每個訪客的公開檔案。包含公鑰 + CA 簽名。 | 否——設計為公開 |
證書鏈(chain.pem) | 中間 CA 證書。將你的證書連線到根 CA。 | 否 |
完整鏈(fullchain.pem) | cert + chain 合併。大多數伺服器需要這個。 | 否 |
| CSR | 臨時請求檔案。傳送給 CA 以申請證書。 | 簽發後丟棄 |
SSL 證書費用
| 提供商 | 費用 | 證書型別 |
|---|---|---|
| Let’s Encrypt(透過 GetHTTPS) | 免費 | DV(與付費加密相同) |
| Buypass Go | 免費 | DV,180 天有效期 |
| Sectigo / Comodo | $50-200/年 | DV、OV、EV |
| DigiCert | $200-500/年 | DV、OV、EV |
| GlobalSign | $100-400/年 | DV、OV、EV |
免費證書提供與付費相同的加密。付費 SSL 值得嗎? →
常見誤解
“SSL 證書加密資料。” 不完全對。證書透過提供公鑰和證明伺服器身份來啟用加密。實際加密由 TLS 協議使用握手中協商的會話金鑰完成。
“更貴 = 更安全。” 不是。所有證書無論價格都使用相同的 TLS 加密。免費的 Let’s Encrypt 證書提供與 $500 EV 證書相同的密碼學安全性。詳情 →
“我的站點不需要 SSL。” 每個站點都需要。沒有 SSL,瀏覽器顯示”不安全”,Google 降低你的排名,HTTP 頁面可以在傳輸中被修改。Chrome 154(2026 年 10 月)將使 HTTPS-First 成為預設——HTTP 站點將需要使用者明確許可才能載入。
常見問題
SSL 證書有效多久?
Let’s Encrypt:90 天。付費證書:最長 1 年(到 2029 年縮短至 47 天)。證書必須在過期前續簽,否則站點顯示安全警告。如何續簽 →
能免費獲取 SSL 證書嗎?
可以。Let’s Encrypt 免費簽發 DV 證書——與付費選項相同的加密。超過 3 億網站使用。透過 GetHTTPS 5 分鐘即可獲取。
每個域名都需要單獨的證書嗎?
不一定。萬用字元證書覆蓋所有子域名(*.example.com)。SAN/多域名證書覆蓋多個不同域名。一張 Let’s Encrypt 證書中最多可組合 100 個域名。
SSL 證書過期會怎樣?
瀏覽器顯示全頁安全警告阻止訪客。搜尋引擎可能取消索引你的頁面。如何檢查過期 → | 如何續簽 →
免費 SSL 證書對電商安全嗎?
安全。PCI DSS 要求加密,不要求特定證書型別。免費 DV 證書滿足要求。你的支付處理商(Stripe、PayPal)處理敏感卡資料。免費 vs 付費對比 →
SSL 和 HTTPS 有什麼區別?
HTTPS 是將 TLS/SSL 加密應用於 HTTP 連線的結果。SSL 證書是使 HTTPS 成為可能的東西——它提供 TLS 握手所需的公鑰和身份證明。