SSL 证书是安装在 Web 服务器上的数字文件,它做两件事:证明服务器身份(认证)和启用加密连接(HTTPS)。当站点有有效的 SSL 证书时,其 URL 以 https:// 开头,浏览器显示锁头图标。
“SSL 证书”这个术语仍然普遍使用,但底层技术现在是 TLS(传输层安全)——SSL 于 2015 年弃用。当人们说”SSL 证书”时,他们指的是 TLS 证书。
SSL 证书内包含什么
SSL 证书是一个 X.509 文件,包含:
| 字段 | 示例 | 用途 |
|---|---|---|
| 主体(CN/SAN) | example.com、www.example.com | 证书有效的域名 |
| 公钥 | ECDSA P-256 或 RSA 2048 密钥 | 在 TLS 握手中用于建立加密 |
| 签发者 | Let’s Encrypt、DigiCert | 签名证书的证书颁发机构 |
| 有效期 | Not Before / Not After | 此期限后证书过期(LE 为 90 天) |
| 序列号 | 唯一十六进制字符串 | 标识此特定证书 |
| 签名 | CA 的数字签名 | 证明证书未被篡改 |
| 密钥用途 | Digital Signature、Key Encipherment | 证书可用于什么 |
服务器保存一个匹配的私钥,可以解密用证书公钥加密的数据。这个密钥对是 HTTPS 加密的基础。
SSL 证书如何工作
当你访问 https://example.com 时:
- 浏览器请求服务器的 SSL 证书
- 服务器发送证书(包含其公钥)
- 浏览器检查:证书是否过期?域名是否匹配?是否由受信任的 CA 签名?
- 如果有效,浏览器使用公钥协商共享会话密钥
- 所有流量用会话密钥加密——中间没人能读取
这在毫秒内完成。完整技术详解 →
SSL 证书类型
按验证级别
| 类型 | 验证内容 | 浏览器显示 | 费用 | 适合 |
|---|---|---|---|---|
| DV(域名验证) | 域名所有权 | 锁头图标 | 免费(Let’s Encrypt) | 90%+ 的网站 |
| OV(组织验证) | 域名 + 组织 | 锁头图标(相同) | $50-200/年 | 企业合规 |
| EV(扩展验证) | 域名 + 详细组织审计 | 锁头图标(相同) | $100-500/年 | 特定监管需求 |
三者提供完全相同的加密。区别在于 CA 验证你身份的程度——不是加密有多强。详细对比 →
按域名覆盖
| 类型 | 覆盖 | 示例 |
|---|---|---|
| 单域名 | 一个特定域名 | example.com |
| 通配符 | 域名 + 所有子域名 | *.example.com |
| 多域名(SAN) | 多个特定域名 | example.com + example.org |
如何获取 SSL 证书
最快的方式——免费、无需安装:
GetHTTPS 使用 Web Crypto API 在你的浏览器中生成私钥——它永远不离开你的设备。完整分步指南 →
私钥 vs 证书——区别
人们经常混淆这些:
| 文件 | 是什么 | 需要保密? |
|---|---|---|
私钥(privkey.pem) | 留在服务器上的密钥。解密传入数据。 | 是——永远不要分享 |
证书(cert.pem) | 发送给每个访客的公开文件。包含公钥 + CA 签名。 | 否——设计为公开 |
证书链(chain.pem) | 中间 CA 证书。将你的证书连接到根 CA。 | 否 |
完整链(fullchain.pem) | cert + chain 合并。大多数服务器需要这个。 | 否 |
| CSR | 临时请求文件。发送给 CA 以申请证书。 | 签发后丢弃 |
SSL 证书费用
| 提供商 | 费用 | 证书类型 |
|---|---|---|
| Let’s Encrypt(通过 GetHTTPS) | 免费 | DV(与付费加密相同) |
| Buypass Go | 免费 | DV,180 天有效期 |
| Sectigo / Comodo | $50-200/年 | DV、OV、EV |
| DigiCert | $200-500/年 | DV、OV、EV |
| GlobalSign | $100-400/年 | DV、OV、EV |
免费证书提供与付费相同的加密。付费 SSL 值得吗? →
常见误解
“SSL 证书加密数据。” 不完全对。证书通过提供公钥和证明服务器身份来启用加密。实际加密由 TLS 协议使用握手中协商的会话密钥完成。
“更贵 = 更安全。” 不是。所有证书无论价格都使用相同的 TLS 加密。免费的 Let’s Encrypt 证书提供与 $500 EV 证书相同的密码学安全性。详情 →
“我的站点不需要 SSL。” 每个站点都需要。没有 SSL,浏览器显示”不安全”,Google 降低你的排名,HTTP 页面可以在传输中被修改。Chrome 154(2026 年 10 月)将使 HTTPS-First 成为默认——HTTP 站点将需要用户明确许可才能加载。
常见问题
SSL 证书有效多久?
Let’s Encrypt:90 天。付费证书:最长 1 年(到 2029 年缩短至 47 天)。证书必须在过期前续签,否则站点显示安全警告。如何续签 →
能免费获取 SSL 证书吗?
可以。Let’s Encrypt 免费签发 DV 证书——与付费选项相同的加密。超过 3 亿网站使用。通过 GetHTTPS 5 分钟即可获取。
每个域名都需要单独的证书吗?
不一定。通配符证书覆盖所有子域名(*.example.com)。SAN/多域名证书覆盖多个不同域名。一张 Let’s Encrypt 证书中最多可组合 100 个域名。
SSL 证书过期会怎样?
浏览器显示全页安全警告阻止访客。搜索引擎可能取消索引你的页面。如何检查过期 → | 如何续签 →
免费 SSL 证书对电商安全吗?
安全。PCI DSS 要求加密,不要求特定证书类型。免费 DV 证书满足要求。你的支付处理商(Stripe、PayPal)处理敏感卡数据。免费 vs 付费对比 →
SSL 和 HTTPS 有什么区别?
HTTPS 是将 TLS/SSL 加密应用于 HTTP 连接的结果。SSL 证书是使 HTTPS 成为可能的东西——它提供 TLS 握手所需的公钥和身份证明。