时至今日，无论是大型的或个人网站，都必须把安全作为建设网站的必要条件之一。因为互联网的黑客攻击行为越来越频繁，而网站是构成互联网的其中重要部分，当网站的安全设施没做好，就会容易受到黑客的攻击，容易造成一系列互联网的连锁反应。 1、明确网站需要保护的目标对象 这是每一位建站者必须要明确的问题，也是最关键的业务考虑问题。对于网站来说，以下群体是每一网站必须保护的对象： 网络邻居：共享主机或者VPS的邻居服务器。当网络邻居遭遇黑客攻击，服务器上的其他站也会受到影响。黑客可以占用大量的资源，就会导致减慢其他站点的运行速度。 网站终端访客：过去，当网站被非法植入恶意软件，普通的用户并没有专业的辨别能力。常导致恶意软件被下载到客户端的设备上，最后出现用户的密码被盗，发生个人信息泄露事件。最后网站需承担没有做好用户数据保护的责任。 数据保护： 数据保护对于任何一家企业来说都是十分重要的，但是数据丢失（包括被窃取）或被滥用，企业就必须承担关于数据保护的违规行为。目前国际最严厉的发过是前段时间欧盟颁布的GDPR，企业一旦存在违反用户数据隐私保护条例，企业就要面临巨额的罚款 2、网站的安全防护之SSL证书 SSL代表安全套接字层，是一种网络传输协议。在服务器和客户端之间创建安全的连接，为两者之间创建加密通道，保护两者之间传递的信息。通常，客户端用户要判断网站是否存在有效的SSL证书，可以通过查看网站的URL是否存在HTTPS，而不是HTTP，并且存在绿色安全挂锁标志。 什么时候需要SSL证书？ 据目前的互联网趋势，每一个网站都需要使用SSL证书。因为从Chrome 68开始，每一个HTTP网站都会被Chrome默认为不安全网络传输协议，并在URL标上“不安全”标志。但是当网站需要用户输入信用卡、借记卡详细信息或第三方支付处理器，必须要使用更高级别的SSL证书（如EV SSL证书），确保用户的信息在传输的过程中是安全加密的，做好保护用户隐私的防御工作。 至今，很多服务器托管商都有提供共享SSL证书。共享SSL证书仅用于与服务器进行安全连接但在公开的情况下使用。因为共享SSL证书不适用域名，相反，它使用的是托管服务商的URL。而私有SSL证书是与网站域名匹配，URL将显示在浏览器的地址栏中。 WAF（Web应用程序防火墙）在流量到达Web应用程序之前监控流量，分析过滤有害流量或流量模式的请求。WAF是企业用来防范模仿，是日常威胁以及其他已知漏洞或网络攻击者的常见安全控制措施。

8月7日，Google 正式对外发布了Android 9，并将其命名为 Pie，Android 9更新了一系列的数字应用、安全和隐私等新功能。如果有用户曾在beta测试版运用过，就会发现到Android 9也支持最新的DNS模式。 Android Pie的新功能简化了在Android配置自定义安全的DNS解析程序，当网站提供DNS服务时，客户端和网站服务器就会自动进行加密，第三方无法窥视DNS查询。因为Android 9内置对DNS over TLS的支持。同时该TLS还负责自动默认HTTPS访问网站，在地址栏可看到绿色安全锁图标。这可确保不会被ISP、移动运营商以及客户端与DNS解析程序之间的第三方篡改内容或无法解析。 配置1.1.1.1 Android Pie支持DNS over TLS，但此前提需要在设备上启用该功能，具体的操作方法是： 1、设置——网络和互联网——高级——私有DNS 2、选择“专用DNS提供程序主机名”选项。 3、输入trustauth.cn并点击保存。 4、访问1.1.1.1/help（或1.0.0.1/help）以验证“使用DNS over TLS（DoT）”显示为“是”。 为什么要使用私有DNS？ 基于TLS的HTTPS和DNS是如何适应当前的互联网隐私状态的？ TLS是一种通过不可信的通信渠道加密的协议，如咖啡店里，用户的设备连接了公共无线网络浏览电子邮件时。即使使用了TLS，仍旧无法监控到客户端与DNS服务器的连接是否有被劫持或第三方窥视。尤其是当你不小心链接了开放热点，网络犯罪分子可以通过伪造客户端的DNS记录来劫持邮件服务器和网上银行的连接。尽管DNSSEC通过签署响应来解决真实性的问题，可检测到篡改行为，但是这会让其他第三方都可以读取传输的内容。 遇到这种情况，可以通过HTTPS/TLS来解决，因为这些加密协议可对客户端与解析器之间的通信进行加密，就如现在流行的HTTPS加密协议。 但这一系列操作的最后一环可能会存在不安全因素，即在终端设备和服务器上的特定主机名之间的初始TLS协商期间会显示服务器名称指示。发送请求的主机名没加密，第三方仍可查看客户端的访问记录。因此，在技术仍然存在漏洞的情况下，使用安全可信的网络是十分重要的。 IPv6与DNS 不少用户都发现了私有DNS字段并不接受类似1.1.1.1这样简单的IP地址，而是需要一个主机名，如trustauth.cn。 Google之所以要求私有DNS字段是主机名而非IP地址，这是因为考虑到移动运营商需要兼顾IPv4和IPv6共存的“双栈世界”。现在越来越多的组织开始使用IPv6，在美国，主营的移动运营商都支持IPv6。据不完全统计，目前约有260亿的互联网连接设备，仅有43亿个IPv4地址。因此，连Apple都要求所有新的iOS应用程序必须支持单栈IPv6网络。 但是，目前我们仍处于一个拥有IPv4地址的世界，因此手机制造商和运营商必须要考虑到日后的兼容性问题。目前，iOS和Android同时请求A和AAAA DNS记录，其中分别包含对应于版本4和版本6格式域名的IP地址。 $ dig A +short trustauth.cn 1.0.0.1 1.1.1.1 $ dig AAAA +short trustauth.cn 2606:4700:4700::1001 2606:4700:4700::1111 要通过仅IPv6网络与仅具有IPv4地址的设备通信，DNS解析器必须使用DNS64将IPv4地址转换为IPv6地址。然后，对那些转换的IP地址的请求，通过网络运营商提供的NAT64转换服务。这一过程对设备和Web服务器是完全透明的。

随着SSL证书的广泛应用，申请SSL证书的人也越来越多，但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书，而最终用户也只是获取SSL证书也是证书链的一部分而已。 在本文将为大家介绍关于SSL证书的根证书和中间根证书的知识。 什么是根证书？ 根证书是指CA机构颁发SSL证书的核心，是信任链的起始点。根证书是浏览器是否对SSL证书每个浏览器都有一个根证书库，有的浏览器是采用自主的根证书库，而一些浏览器则采取第三方的根证书库。而根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的，因为它可确保浏览器自动信任已使用私钥签名的SSL证书。 受信任的根证书是属于证书颁发机构（CA），而CA机构是验证和颁发SSL证书的组织机构。 什么是证书链？ 浏览器是如何鉴定信任网站的SSL证书？其实当客户端访问服务器时，浏览器会查看SSL证书并执行快速验证SSL证书的真实性。 浏览器鉴定SSL证书身份验证的操作是根据证书链的内容。那么证书链是什么？ 用户在获取SSL证书之前，首先要生成证书签名请求（CSR）和私钥。在最简单的迭代中，用户将生成的CSR发生到证书颁发机构，然后使用CA机构的根证书的私钥签署用户的SSL证书，并将SSL证书发回给用户。 当浏览器检测到SSL证书时，就会查看证书是由其中一个受信任的根证书签名（使用root的私钥签名）。由于浏览器信任root，所以浏览器也信任根证书签名的任何证书。 而证书链是由两个环节组成—信任锚（CA 证书）环节和已签名证书环节。信任锚证书CA 环节可以对中间证书签名；中间证书的所有者可以用自己的私钥对另一个证书签名。这两者结合就构成了证书链。 什么是中间证书？ 证书颁发机构（CA）不会直接从根目录颁发服务器证书（即SSL证书），因为这种行为是十分危险的，因为一旦发生错误颁发或者需要撤销root,则使用root签名的每个证书都会被撤销信任。 因此，为了避免这种风险发生，CA机构一般会引用中间根。CA机构使用其私钥对中间根进行签名，使浏览器信任中间根。然后CA机构使用中间根证书的私钥来签署用户申请的SSL证书。这种中间根的形式可以重复多次，即使用中间根签署另一个中间件，然后CA机构通过中间件签署SSL证书。 这是证书链的可视化过程，从上述例子可看出，CA机构只需要使用一个中间体来保持简单的操作，但其实真正的证书链通常要复杂的多。 数字签名有什么作用？ 当根证书以数字方式签署中间证书时，就会将部分信任转移到中间证书。因为签名是直接来源于收信人的根证书的私钥，因此它会自动受信任。 当浏览器或其他客户端检测到服务端的SSL证书，就会收到证书本身或与证书相关联的公钥。然后通过公钥，解锁数字签名，查看是由哪家企业签署了证书。即当客户端浏览器访问网站时，会对服务器用户的SSL证书进行身份验证，通过公钥来解锁加密的签名，解锁的签名就会随着签署的证书，反馈到浏览器信任的根证书库中。 如果解锁的签名链接是不在浏览器信任的根证书库中，浏览器就会对该证书显示不安全。 根证书CA和中间根CA的区别？ 根证书CA是拥有一个或者多个受信任根的证书颁发机构，即CA机构已扎根在主要浏览器的信任库中。而中间跟CA或子CA是颁发中间根的证书颁发机构，他们不一定在浏览器的信任库中有根证书，而是将他们的中间根链接回收到受信任的第三方根，这种就被称为交叉签名。 所以有一些CA机构颁发的证书并不是直接从他们的根源发出的，而是通过中间根签署证书来加强安全层，这有助于减少发生错误或安全事件的机率。如果撤销中间根，而不是撤销根证书以及按扩展名签署的证书，这种做法会导致中间根签发的证书不受信任。 其实目前就有一件经典的案例，就是谷歌和其他主流的浏览器都取消对赛门铁克品牌的SSL证书。据悉，赛门铁克的SSL证书目前已颁发了数百万，取消对其的信任似乎是一件艰巨的项目。但在实际中，这是一项非常简单的工作，因为只需要在浏览器的根证书库中删除Symantec CA的所有根就可以。 链式根和单一根之间的区别？ 单一根是由CA拥有的，可直接颁发证书，可以让部署证书的操作步骤变得更加简单。而链式根是Sub CA用于颁发证书的内容，是一个中间证书，但是因为中间根CA没有自己受信任的证书，必须链接到第三方受信任的CA。 链式根和单一根的区别具体如下： 链式根需要比较复杂的安装方法，因为中间根需要加载到托管证书的每个服务器和应用程序。 链式根需要受到链接的CA支配，因为他们无法控制root用户，一旦root CA停业，他们也会收到巨大的牵连。 根证书和中间证书过期的话，中间根必须要在根证书之前，这样就会增加工作难度。 最后 以上所提到的证书颁发机构、证书链和加密签名的信任根证书，其实本质上都是PKI或者公钥基础结构。

众所周知SSL证书能在客户端和服务器建立安全连接，网站升级HTTPS访问。然而令人沮丧的是，SSL错误时而发生，这可能是从客户端和服务器端触发的，因此有时它可以由常规互联网用户修复，有时则需要网站所有者修改配置。我们综合分析了所有SSL/TLS协议错误的原因，并提供有效的解决方法。 一、什么是SSL / TLS协议？ SSL证书就是遵守SSL/TLS协议，使得客户端和服务器相互验证并开始加密连接。SSL/TLS 握手协议完成三件事： – 将服务器认证为非对称公钥/私钥对的合法所有者 – 确定将用于连接的TLS版本和密码套件 – 交换将用于通信的对称会话密钥 在HTTPS连接期间，通信实际上是通过客户端生成的对称会话密钥完成的。生成对称密钥时，双方都会获得一个副本，并可以使用它来加密和解密。我们就是采用2048位RSA密钥，128-256位自适应加密，安全性非常强大。 二、SSL / TLS协议错误概述 考虑到SSL/TLS协议中移动部件的数量，如果网站或设备配置错误，可能会出现大量错误。那么我们就来谈谈SSL/TLS协议可能出现什么问题，以及需要采取哪些措施来解决它。为了大家更容易理解，我们列了一个表： 接下来让我们深入了解并解决这些问题： 1、系统时间不正确 如果系统时钟从通用时间选项中被删除，或者时间设置意外地改变了，使得你的系统时间错误，可能会导致SSL错误问题。 互联网用户将系统时间设置回到正确的日期和时间，那就可以继续正确连接。 2、浏览器错误 有时你的浏览器可能会出错配置，或者插件可能会导致某些方面的工作方式有所不同，从而导致连接到其他合法网站时出现SSL错误问题。 需要准确诊断当前浏览器需要调整的内容，此外最快方法是：将浏览器重置为默认设置并禁用所有插件。当然，有更简单的方法：只需尝试其他浏览器即可。 3、中间人 中间人（MITM）不只是黑客，许多程序和设备拦截流量以进行检查，然后将其发送到应用程序服务器。这也构成了MITM，都可能导致SSL/TLS协议错误。它可能类似于阻止连接的网络防火墙，或者可能是服务器端网络上边缘设备上的配置。 如果是客户端问题，通常应该可以将相关网站列入白名单或创建例外，注意永远不要放弃你的防火墙。如果是服务器端问题，可以将其缩小到一个单一的修复程序，但如果有设备检查或拦截流量，那就从修复这个问题开始。 4、协议不匹配 如果由于协议不匹配而导致SSL / TLS握手失败错误，则意味着客户端和服务器不支持相同的TLS版本。例如： 没有相互支持的TLS协议，而服务器可能不支持向后版本控制，所以客户端应升级其浏览器，或者在浏览器是最新的情况下将其配置为支持最新的TLS版本。 5、密码套件不匹配 这与协议不匹配非常类似。不同的行业和政府机构有不同的加密标准，提出不同的密码套件。如果设备和应用程序服务器不共享相互支持的密码套件，则会导致SSL错误。处理方法与上一条类似，就是使用最新且相互匹配的密码套件。 6、SSL证书不正确 SSL证书不正确也会导致SSL协议错误，其中又有几种可能： ① 主机名不正确 这曾经是www和非www版本的网站的问题，但这通常由证书颁发机构社区减轻，允许一个免费列为SAN。通常可以通过重新颁发证书或有时使用通配符证书来解决此问题。 ② 证书链不正确 根证书用于对中间根进行数字签名，这些中间证书又用于签署其他中间体或最终的用户证书。这就是证书链。浏览器收到SSL证书时，会检查其签名的真实性，从中间证书追溯到根证书。直到最终它到达其信任列表中的一个根证书。 要解决此问题，需要找到并安装缺少的中间证书。联系你购买证书的CA，以获得中间证书。 ③ 已过期/已吊销的证书 SSL证书过期或吊销，也会发生SSL协议错误。目前，SSL证书的最大有效期为两年，所以需要定期更换证书。重新申请有效的SSL证书并安装，就可以解决了。 ④ 自签名证书 在内部网络上，自签名证书相当普遍。大多数浏览器都会缓存证书，以便在返回网站时使SSL握手速度更快，但如果您定期生成新证书，则不断将所有这些新生成的证书添加到本地数据库会导致混淆，最终浏览器将难以进行路径构建和崩溃。 7、启用S​​NI的服务器 这更多是设备之间存在的内部问题，但有时客户端在未启用SNI时与服务器名称指示服务器通信可能是SSL / TLS协议错误的原因。 您需要做的第一件事是确定有问题的服务器的主机名和端口号，并确保它已启用SNI以及它正在传达它需要的所有内容。   以上是修复SSL/ TL协议错误的方法，问题通常都是在服务器端，这意味着作为常规互联网用户，你的选择是有限的。最好的办法是通知网站所有者问题，并等待他们解决问题。如果网站无法提供安全的浏览体验，则不应访问。

据CA安全委员会（CASC）预测，到2019年底，全球超过90％的http流量将通过SSL / TLS进行保护，实现https加密访问，提升用户安全性和隐私性。安装SSL证书成为各大网站的共识，那么如何购买SSL证书呢？下面就从几个方面介绍一下，包括确定SSL证书的类型、品牌、颁发证书机构等，帮助大家正确购买SSL证书。 一、确定需要的SSL证书类型 首先，SSL证书分为不同的类型，购买SSL证书需要根据你的公司类型和对安全性的需求来选择： 从安全等级来说，SSL证书分为增强型EV SSL证书、企业型OV SSL证书和域名型DV SSL证书。增强型EV SSL证书适合电子商务、银行金融和政务等平台，安全等级最高；企业型OV SSL证书适合电子商务和中小型企业站点，安全等级居中；域名型DV SSL证书适合中小型企业和个人站点，价格相对便宜。 从域名数量来说，分为单域名证书、多域名证书和通配符证书。单域名证书是在单个证书上保护一个完全限定的域名；多域名证书允许网站所有者在一个证书上保护多个不同的域，如domain-1.trustauth.cn，domain-2.trustauth.cn，net.domain-3.trustauth.cn等；通配符证书允许企业保护主域名下的所有二级子域名，如* .trustauth.cn的通配符证书也可用于保护pay.trustauth.cn、login.trustauth.cn、anything-else.trustauth.cn等。多域名或通配符证书能节省成本，经济高效，运行多个网站的企业可以考虑。 二、确定需要的SSL证书品牌 其次，不同品牌的SSL证书有不同的安全性和兼容性，提供的服务也不一样。以下是市面上知名品牌的对比，方便大家正确购买SSL证书。 （以企业型OV SSL证书为例） GDCA是国内优质的证书品牌，相比GeoTrust、GlobalSign、Symantec等国外品牌，GDCA的SSL证书性价比更高，本地化服务能力更佳，推荐购买。 三、确定证书颁发机构是否受信任 并不是所有CA机构签发的SSL证书都能受浏览器信任，这就是为什么有的网站会出现“该证书不受信任”的安全警报。所以，购买SSL证书时一定要选择全球信任的CA机构购买SSL证书，推荐安信，它通过了国际WebTrust认证，其根证书预置到所有主流的操作系统和浏览器中，受浏览器信任，权威可靠。

数据隐私和安全问题对于银行金融行业来说尤为重要。银行和其他金融机构管理大量关于其客户的敏感信息，盗用此类数据可能会产生可怕的后果。随着网络钓鱼的大量增加，安全性比以往任何时候都更加重要。银行、信用合作社和其他金融机构是网络钓鱼攻击和其他针对身份盗用诈骗的主要目标。 一、银行金融业数据安全的重要性 银行金融业拥有大量客户的敏感信息，且每天都有高额交易需要进行，当这些机构提供的网络和Web应用程序没有足够的安全措施来阻止黑客窃取数据时，就会出现严重的安全问题。而且由于黑客每天都在开发越来越复杂的攻击方法，因此需要确保机构的数据安全措施有效可靠，这是一项持续而复杂的任务。 银行网络安全面临的威胁包括未加密的数据、操纵数据、欺骗等等，利用当前最新的安全技术是很好的防范方法。如果没有适当的安全协议，组织机构就无法地狱来自外部和内部的威胁。为了使客户的财务数据安全，所有银行和金融机构都必须使用SSL证书。任何银行或金融机构使用不安全的网络来通过金融交易是绝对不可接受的。 二、银行金融机构网站安装SSL证书的作用和好处 SSL协议是一种安全加密的通信协议，现在是安全的全球标准。SSL证书就是遵守SSL协议，在Web服务器和浏览器之间创建加密链接，以确保传输的所有数据保持私密和安全。 SSL证书使用两个密钥来加密数据，公钥（所有人知道）和私钥（只有消息接收者知道）。公钥用于加密信息，私钥用于解密。当Web浏览器指向安全域时，安全套接字层握手会对服务器和客户端进行身份验证。使用唯一会话密钥建立加密方法。 银行金融机构安装SSL证书能够： ① 增加客户对网站的信心 ② 全球接受，方便扩大来自世界各地的客户 ③ 保护客户的个人或财务信息，防止被窃取和盗用 ④ 消费者现在都希望他们使用的在线服务具有安全性 ⑤ 符合银行金融业的隐私和在线安全要求 如果不使用SSL证书，可能会带来这些后果：黑客和犯罪分子可能会追踪有价值的信息、客户失去信心从而转向其他银行金融机构、影响机构品牌形象或商誉等等。因此，银行金融机构安装SSL证书十分重要。 三、银行金融机构需要增强型EV SSL证书 SSL证书分为域名型DV SSL证书、企业型OV SSL证书和增强型EV SSL证书，对于需要收集用户资料、涉及交易的银行金融业来说，安全等级最高的增强型EV SSL证书最为合适。增强型EV SSL证书显示HTTPS和安全锁，还有组织机构名称以及绿色地址栏，这是通过互联网信任网站的第一安全指示器，它表示业务是合法的，用户无需担心隐私和安全个人敏感信息。

当你浏览某些网站时，在地址栏的URL旁边会看到一个安全锁图标对吧？这意味着该网站受SSL证书保护。在黑客攻击和欺诈日益增多的时代，网站所有者和在线用户越来越关注他们的安全性。因此，安装SSL证书已成为任何网站的基本要求。 近年来，SSL证书的价格已大幅下降，甚至有一些免费SSL证书，因此网站可以轻松部署。那么免费SSL证书和付费SSL证书有什么区别呢？如何申请免费SSL证书呢？今天就来探讨一下这些问题。 一、免费SSL证书与付费SSL证书 免费SSL证书，顾名思义是免费提供的，免费提供SSL证书目的是为所有网站提供HTTPS访问权限。付费SSL证书是由可信赖的证书颁发机构（CA）签名并颁发的，国内安信就是全球受信任的CA机构。 免费SSL证书与付费SSL证书都提供HTTPS访问，但是又有一些区别： 1、SSL证书类型 免费SSL证书一般为域名型DV SSL证书，仅用于提供基本级别的身份验证，常用于小型网站和博客等平台。免费SSL证书没有组织验证（OV）和扩展验证（EV）证书的类型，付费SSL证书则有OV和EV类型的SSL证书，这对于保护商业网站是绝对必要的。 2、验证级别 免费SSL证书仅需基本级别的身份验证，CA机构不会验证除网站所有者身份之外的任何内容。而付费的OV/EV SSL证书除了必须验证网站所有者的身份之外，还需要对公司和业务进行深入的验证。 3、有效期 一般CA机构提供的免费SSL证书有效期为三个月到一年。因此，网站所有者必须按时更新证书。 4、服务支持 付费的SSL证书的提供商致力于为其客户提供全天候的技术和服务支持。这些客户可以选择他们想要的任何类型的支持，无论是聊天，电子邮件还是电话。而免费的SSL证书不会帮助他们的客户获得如此卓越的支持。 5、信任程度 免费SSL证书仅地址栏显示HTTPS和安全锁图标，付费的OV和EV SSL证书除了显示HTTPS和安全锁图标，还能查询到公司详细信息，EV SSL证书还能使地址栏变成绿色，并在地址栏直接展示公司名称。这些标识增加了客户对网站的信任度，而且客户在网站进行交易的机会大大增加。 二、免费SSL证书申请 无论是免费SSL证书还是付费SSL证书，一定要选择去受信任的CA机构申请。国内领先CA机构安信通过了拥有《电子认证服务许可证》，通过了WebTrust国际认证，并且已经入根到Firefox、Chrome等所有主流浏览器中，安全性和兼容性都有保障。 安信可提供免费的SSL证书，有效期3个月，是个人网站和广大中小型网站的最佳选择！ ① 兼容性好，支持谷歌、火狐、IE、360等浏览器，移动端支持安卓9.0以上版。 ② 颁发快速，最快10分钟颁发 ③ SHA256位加密，2048位密钥长度，安全可靠

如果你曾在网上购物、登录社交网站、管理银行账户等，那么你很可能已经接触到SSL证书。判断网站是否安装SSL证书，只需查看浏览器中的地址栏即可，拥有SSL证书的网站通常会以“https：//”的地址开头，还有绿色安全锁标识。SSL证书会加密浏览器和服务器之间传输的所有信息，确保其免受第三方的窃取和劫持。 一、为什么需要SSL证书？ 浏览器（如Chrome、Firefox等）将没有SSL加密的网页标记为不安全，向访问者弹出警告，这可能会对你网站的可信度产生负面影响。如果安装了SSL证书，则网站的URL将以前缀“https”开头，并且浏览器栏中将显示绿色安全锁图标，向网站的访问者显示网站安全且可靠。同时，受SSL证书保护的页面可获得更好的搜索引擎排名，并且更有可能被访问者信任。 无论是为了保护电子商务交易，保护电子邮件来来往往，还是只是为了保护网站安全，安装SSL证书都是非常有必要的，这是企业、客户和访客创建安全的在线环境的第一步。 二、如何选择SSL证书品牌？ SSL证书需要从受信任的CA机构申请，市场上有许多CA机构可以颁发SSL证书，相同的是每个CA都必须满足一系列标准安全要求，不同之处在于它们提供的附加功能，支持类型或价格。下面提供一些国内外较好的SSL证书品牌，供大家比较和选择。在做出决定时，需要检查其价格、声誉和功能，以确保它完全符合你的需求。 1、Comodo Comodo是全球知名的证书颁发机构。它提供范围广泛的证书，是初创公司和小型企业的最佳选择。它提供的功能包括： · 30天退款保证 · 立即验证和发布 · 无限制的服务器许可 · 保证金$ 1,750,000 2、GeoTrust 它是性价比非常高的SSL证书品牌。由于价格范围的原因，GeoTrust是中小型企业的理想选择。它提供的功能包括： · 256位加密 · 扩展验证 · 99％的浏览器兼容性 · 安全保证金：50,000美元至100,000美元 3、Symantec 赛门铁克SSL证书的安全性能提高客户的信心并实现业务的全部在线潜力，提供更高级别的SSL加密保护，并显示Norton安全站点密封以建立安全性和权限。它提供的功能包括： · 每日恶意软件扫描 · 诺顿确保密封 · 密封搜索 · 漏洞评估 · 安全保证金$ 1,750,000 三、选择SSL证书品牌的注意事项 尽管每个人的需求各不相同，但是选择SSL证书品牌的方法有一些共同性，下面这些因素是考量哪家SSL证书提供商更好的标准： ① 最高安全级别：支持越高级别的加密，安全性则越高。 ② 浏览器兼容性：入根到越多的浏览器系统中，则兼容性越高。 ③ 发行时间：发行时间的重要性在最后的关键时刻会凸显的更明显，尽量选择发行高效的CA机构。 ④ 技术支持：即使是非常精明的IT人员，SSL证书相关的微妙细微差别也会让人困惑，因此拥有SSL技术支持团队至关重要。 ⑤ 退款政策：必要时进行退款手续是一个合理的预防措施，以防万一。 ⑥ 保修政策：SSL证书出现错误有时会发生，是否提供保修服务也需要考虑到。

全站HTTPS的时代已经到来，各大网站纷纷部署SSL证书。SSL证书的作用是让信息通过安全的方式进行交换，此信息通常是敏感信息，包括账号密码、银行卡详细信息、手机号码等。但是SSL证书具有设定的到期日期，SSL证书过期的后果可能会很严重。 一、SSL证书为什么会过期？ 大家都知道，SSL证书有助于实现两件事：数据加密和身份验证。身份验证是SSL证书过期的一大原因。所有SSL证书都会对某些内容进行身份验证，需要定期重新验证正在使用的信息，以确保其准确性。对于颁发可信证书的证书颁发机构来说，确保他们用于对服务器和组织进行身份验证的信息尽可能最新且准确，这一点非常重要。 而且，安全技术和环境并非一成不变的，而是不断更新和变化的，SSL证书到期才能升级换代，提供更安全的服务。此外，SSL证书有效期越长，特别是永久有效的证书，提供给黑客破解的时间就越长，潜在的危险性增加。 二、SSL证书过期的后果 行业CAB论坛规定了证书颁发机构颁发可信SSL证书时必须遵循的基准要求。这些要求规定SSL证书的使用寿命不得超过27个月。这意味着每个网站都需要至少每两年续订或更换一次SSL证书。 · 爱立信证书过期，影响3200万人的移动电话服务 2018年12月，爱立信网络相关的数字证书到期后，英国有数百万人没有蜂窝覆盖。由于爱立信管理软件版本中过期的数字证书被欧洲电信公司广泛使用，数百万蜂窝用户经历了停机。 那么， SSL证书到期会产生什么后果呢？ 1.浏览器安全警告 当用户访问有过期SSL证书的网页时，浏览器会发出错误消息并强制确认是否要访问该网站。它警告SSL证书无效并且不鼓励用户访问该网站。 2.信任度降低 当SSL证书过期时，证书为用户验证的所有内容都不再有效。用户无法判断拥有该域名的组织是否是真正的所有者，无法确定网站是否安全加密，因此，用户的信任度降低。 3.销售额下降 SSL证书过期会对在线销售产生负面影响。据赛门铁克称，90％的消费者在收到SSL警告时会停止交易，72％的消费者要么完全放弃交易，要么去竞争对手的网站，导致网站销售额下降。 4.公司声誉受损 当用户遇到具有过期SSL证书的网站时，公司的声誉和可信度可能会受到损害。由于客户不再信任该网站进行在线购买，他们也可能想知道他们的个人或财务信息是否有被曝光的风险。