随着网络安全越来越受重视，以及Google、百度等搜索引擎巨头对https网站给予的高权重，越来越多的网站安装了由受信任的CA机构颁发的SSL数字证书，目前SSL数字证书需求呈现爆发式增长。

根据2018年5月份的SSL证书市场占有率数据显示，排在前两位的是Let’s Encrypt和Comodo，分别占有47.51%和36.17%的SSL证书市场份额。

36.17%的市场份额!Comodo凭什么在SSL证书市场排第二

Let’s Encrypt之所以占有量第一，主要原因在于该证书提供了免费的申请，既没有高额的安全保险，也不具备点对点的技术支持，而且申请过程比较复杂，适合具有一定的专业知识的个人站长申请。

而排名第二的则是Comodo，占有36.17%的SSL证书市场份额。Comodo是全球知名的IT安全服务提供商和SSL证书供应商，它的SSL证书性价比高，申请速度快，稳定性高，是受国内网站信任的CA机构之一。

性价比高

Comodo提供DV、OV和EV等级别的SSL数字证书，方案丰富，性价比超高。主机侦探SSL证书商城在售的Comodo SSL证书最低仅需169元，即使是级别最高的EV扩展验证型证书也只要1888元/年。

颁发速度快

    在不同的CA机构申请不同级别的SSL证书，所需要的时间是不一样的。Comodo证书的颁发速度在所有受信任的CA机构中还是非常快的， DV SSL证书60分钟以内即可颁发，OV SSL证书3~5个工作日，而最高级别的EV SSL证书也只要5~7个工作日。

Comodo SSL证书近年来一直是全球占有率最高的数字证书品牌之一，它提供的证书类型方案丰富，性价比高，能够满足各类网站不同的安全需求，是中小型企业及个人站长部署SSL的首选品牌。

数字证书颁发机构（简称CA）是值得信赖的第三方实体颁发数字证书机构并管理为最终用户数据加密的公共密钥和证书。CA的责任是确保公司或用户收到有效的身份认证是唯一证书。

数字证书颁发机构的工作原理

作为公共密钥基础设施（PKI）的一部分，CA在签发数字证书之前使用合格信息源（QIS）来检查申请人提供的数据。CA机构还与第三方合作机构具有紧密的合作关系，如信用报告机构。对申请人的业务以及身份进行认证。CA是数据安全和电子商务领域的关键组成部分，确保交易双方的真实身份。

CA的客户群体包括服务器管理员和网站所有者。把CA机构颁发的SSL证书部署到服务器上，SSL证书可为认证的服务器与客户端搭建一个平稳和安全的链接，客户端与服务端之间可进行安全的信息通信。

其中 CA /浏览器论坛（简称CA/B论坛）是一个自律的行业机构，为CA信任制定了广泛的指导方针。

如何从数字证书颁发机构（CA）获取SSL？

数字证书颁发机构（CA）提供多种类型的SSL证书，如DV SSL证书，OV SSL证书和EV SSL证书。在获取证书之前，申请用户必须要确认需要哪种证书。确认证书类型后，再选定目标的CA机构，向其提出购买证书申请。

申请SSL证书后，下一步就是生成证书签名请求（CSR）。完成CSR生成过程后，CA机构将以密码形式向客户提供私钥。然后将CSR和私钥存储在服务器或本地驱动器上的安全位置。

CA机构在收到证书请求后，他们会对申请者进行验证。申请不同的SSL证书，其验证方式也不一样。其中提供的文件证明申请者的身份和商业注册取决于申请者的证书类型。

申请DV SSL证书，CA只需要验证域的所有权。一旦验证通过，证书在数分钟内即可发出。而OV和EV SSL证书，验证过程相对要复杂，一般需要3-5个工作日。因为CA机构的第三方机构需要验证所有业务相关文件。如果客户提供的文件符合CA的要求，就会颁发证书。

前不久小米等六家互联网公司发表联合声明，呼吁运营商打击流量劫持。流量劫持最直观的表现，就是网页上被插入了一些乱七八糟的广告/弹窗之类的内容。比如下面这种： 页面的右下角被插入了广告。 流量劫持总体来说属于中间人攻击的一种。

何为流量劫持

前不久小米等六家互联网公司发表联合声明，呼吁运营商打击流量劫持。流量劫持最直观的表现，就是网页上被插入了一些乱七八糟的广告/弹窗之类的内容。比如下面这种：

页面的右下角被插入了广告。

流量劫持总体来说属于中间人攻击的一种，本质上攻击者在通信两端之间对通信内容进行嗅探和篡改，以达到插入数据和获取关键信息的目的。目前互联网上发生的流量劫持基本是两种手段来实现的:

域名劫持：

通过劫持掉域名的DNS解析结果，将HTTP请求劫持到特定IP上，使得客户端和攻击者的服务器建立TCP连接，而非和目标服务器直接连接，这样攻击者就可以对内容进行窃取或篡改。在极端的情况下甚至攻击者可能伪造目标网站页面进行钓鱼攻击。

直接流量修改：

在数据通路上对页面进行固定的内容插入，比如广告弹窗等。在这种情况下，虽然客户端和服务器是直接建立的连接，但是数据内容依然可能遭到野蛮破坏。

能够实施流量劫持的根本原因，是HTTP协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题，则流量劫持将无法轻易发生。

关于流量劫持的更多危害案例，可以参考：如何看待小米等联合声明：呼吁运营商严格打击流量劫持？

HTTPS如何防止劫持

    HTTPS，是HTTP over SSL的意思，提到HTTPS就不得不先简单描述一下SSL/TLS协议。SSL协议是Netscape在1995年首次提出的用于解决传输层安全问题的网络协议，其核心是基于公钥密码学理论实现了对服务器身份认证、数据的私密性保护以及对数据完整性的校验等功能。1999年IETF将SSL 3.0标准化，是为TLS 1.0版本，目前TLS协议的最新版本是1.2版本，TLS 1.3标准正在制定中。为了方便，下文将SSL/TLS协议都简称为SSL协议。

    SSL协议在HTTP请求开始之前增加了握手的阶段，在SSL握手阶段，客户端浏览器会认证服务器的身份，这是通过“证书”来实现的，证书由证书权威（CA）为某个域名签发，可以理解为网站的身份证件，客户端需要对这个证件进行认证，需要确定该证书是否属于目标网站并确认证书本身是否有效。最后在握手阶段，通信的双方还会协商出一个用于加密和解密的会话密钥。

SSL握手阶段结束之后，服务器和客户端使用协商出的会话密钥对交互的数据进行加密/解密操作，对于HTTP协议来说，就是将HTTP请求和应答经过加密之后再发送到网络上。

    由此可见，因为SSL协议提供了对服务器的身份认证，所以DNS劫持导致连接错误服务器的情况将会被发现进而终止连接，最终导致DNS挟持攻击无法实现。此外SSL协议还提供数据的加密和完整性校验，这就解决了关键信息被嗅探以及数据内容被修改的可能。

广泛应用于互联网世界的HTTP想必是大家再熟悉不过的了，然而细心的朋友可能发现淘宝、百度、网上银行等网站都变成HTTPS开头，并且还有一把小绿锁挂在地址栏，那么HTTPS和HTTP的区别是什么呢?

一、什么是HTTPS

HTTPS是在HTTP上建立SSL加密层，并对传输数据进行加密，是HTTP协议的安全版。HTTPS主要作用是：

（1）对数据进行加密，并建立一个信息安全通道，来保证传输过程中的数据安全;

（2）对网站服务器进行真实身份认证。

二、什么是HTTP

HTTP是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准(TCP)，用于从WWW服务器传输超文本到本地浏览器的传输协议。HTTP是采用明文形式进行数据传输，极易被不法份子窃取和篡改。

三、HTTPS和HTTP的区别是什么

1、HTTPS是加密传输协议，HTTP是名文传输协议;

2、HTTPS需要用到SSL证书，而HTTP不用;

3、HTTPS比HTTP更加安全，对搜索引擎更友好，利于SEO

4、 HTTPS标准端口443，HTTP标准端口80;

5、 HTTPS基于传输层，HTTP基于应用层;

6、 HTTPS在浏览器显示绿色安全锁，HTTP没有显示;

总的来说HTTPS比HTTP更加安全，能够有效的保护网站用户的隐私信息安全，这也是为什么现在的HTTPS网站越来越多。如果不想你的网站因为数据泄露上头条的话，就赶快去申请一张SSL证书为自己的网站实现HTTPS加密吧!

SSL 是一个安全协议，它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的 超文本传输协议（HTTP）使用 SSL 来实现安全的通信。

    在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

SSL 握手

SSL 连接总是由客户端启动的。在SSL 会话开始时执行 SSL 握手。此握手产生会话的密码参数。关于如何处理 SSL 握手的简单概述，如下图所示。此示例假设已在 Web 浏览器 和 Web 服务器间建立了 SSL 连接。

SSL工作原理

(1) 客户端发送列出客户端密码能力的客户端“您好”消息（以客户端首选项顺序排序），如 SSL 的版本、客户端支持的密码对(加密套件)和客户端支持的数据压缩方法(哈希函数)。消息也包含 28 字节的随机数。

(2) 服务器以服务器“您好”消息响应，此消息包含密码方法（密码对）和由服务器选择的数据压缩方法，以及会话标识和另一个随机数。

注意:客户端和服务器至少必须支持一个公共密码对，否则握手失败。服务器一般选择最大的公共密码对。

(3) 服务器发送其SSL数字证书。（服务器使用带有 SSL 的 X.509 V3 数字证书。）

如果服务器使用 SSL V3，而服务器应用程序（如 Web 服务器）需要数字证书进行客户端认证，则客户端会发出“数字证书请求”消息。在 “数字证书请求”消息中，服务器发出支持的客户端数字证书类型的列表和可接受的CA的名称。

(4) 服务器发出服务器“您好完成”消息并等待客户端响应。

(5) 一接到服务器“您好完成”消息，客户端（ Web 浏览器）将验证服务器的SSL数字证书的有效性并检查服务器的“你好”消息参数是否可以接受。

如果服务器请求客户端数字证书，客户端将发送其数字证书；或者，如果没有合适的数字证书是可用的，客户端将发送“没有数字证书”警告。此警告仅仅是警告而已，但如果客户端数字证书认证是强制性的话，服务器应用程序将会使会话失败。

(6) 客户端发送“客户端密钥交换”消息。此消息包含 pre-master secret（一个用在对称加密密钥生成中的 46 字节的随机数字），和 消息认证代码（ MAC ）密钥（用服务器的公用密钥加密的）。

如果客户端发送客户端数字证书给服务器，客户端将发出签有客户端的专用密钥的“数字证书验证”消息。通过验证此消息的签名，服务器可以显示验证客户端数字证书的所有权。

注意: 如果服务器没有属于数字证书的专用密钥，它将无法解密 pre-master 密码，也无法创建对称加密算法的正确密钥，且握手将失败。

(7) 客户端使用一系列加密运算将 pre-master secret 转化为 master secret，其中将派生出所有用于加密和消息认证的密钥。然后，客户端发出“更改密码规范” 消息将服务器转换为新协商的密码对。客户端发出的下一个消息（“未完成”的消息）为用此密码方法和密钥加密的第一条消息。

(8) 服务器以自己的“更改密码规范”和“已完成”消息响应。

(9) SSL 握手结束，且可以发送加密的应用程序数据。