什么是HTTPS证书？

HTTPS证书，通常被称为SSL证书或TLS证书，是一种部署在网站服务器上的数字文件。它的核心作用有两个：验证网站身份和加密传输数据。要深入理解它，我们需要拆解其技术构成和工作原理。
从技术角度看，一个HTTPS证书包含哪些关键信息？
一个标准的HTTPS证书通常包含以下几个核心字段：
主题（Subject）： 证书持有者的信息，重要的就是通用名称（CN），即该证书所保护的域名（例如 www.example.com）。
颁发者（Issuer）： 签发该证书的证书颁发机构（CA）的信息。
有效期（Validity）： 证书的生效日期和过期日期。证书不能永久有效，必须定期更新，以确保证书信息的时效性和安全性。
公钥（Public Key）： 这是一串公开的、用于加密的密钥。它与服务器上保存的私钥配对使用。
数字签名（Digital Signature）： 由CA机构使用其私钥对证书信息进行哈希计算并加密后生成的一段数据。这是证书可信性的根源。
HTTPS证书是如何工作的？（简化流程）
客户端发起请求（Client Hello）： 当您在浏览器输入https://开头的网址时，浏览器会向服务器发送一个连接请求，并告知自己支持的加密套件列表。
服务器响应并发送证书（Server Hello）： 服务器收到请求后，会将自身的HTTPS证书（包含公钥）发送给浏览器。
客户端验证证书： 浏览器会执行一系列严格的验证：
检查证书是否由受信任的CA签发。
检查证书是否在有效期内。
检查证书是否被吊销（通过查询CRL或OCSP服务器）。
检查证书中绑定的域名是否与正在访问的域名一致。
密钥交换与加密通信： 验证通过后，浏览器会生成一个随机的“会话密钥”，并使用证书中的公钥加密这个会话密钥，发送给服务器。服务器用自己的私钥解密，获得会话密钥。此后，双方就使用这个对称的会话密钥来加密和解密所有传输的数据，因为对称加密效率更高。
HTTPS证书的类型有哪些？
根据验证等级的不同，主要分为三类：
域名验证型证书（DV SSL）： 只验证申请者对域名的控制权。签发速度快，成本低，适用于个人网站、博客等。
组织验证型证书（OV SSL）： 除了验证域名所有权，还会验证申请组织的真实存在性（如公司名称、地址等）。这些信息会包含在证书中，安全性更高，适用于企业官网。
扩展验证型证书（EV SSL）： 严格的验证，需经过全面的企业身份审查。浏览器地址栏会显示绿色的公司名称，极大增强用户信任，常用于金融、电商等对信任要求极高的平台。
简而言之，HTTPS证书是一套基于公钥基础设施（PKI）的成熟安全解决方案，它通过数字化的方式，将可信的身份与加密的通道结合在一起，构成了现代互联网安全的基石。