浏览器左上角的小锁头:一文看懂 SSL/TLS 与数字证书

你有没有注意过,当你访问我的博客或者淘宝、京东时,浏览器地址栏的最左边,都会有一个绿色的小锁头🔒?如果你点击它,会显示“连接安全”。

但如果你误入了一些不知名的小网站,浏览器可能会跳出一个吓人的红色警告:“您的连接不是私密连接”

这把锁,就是我们今天要讲的主角——SSL/TLS 协议。而那个让浏览器闭嘴不报错的文件,就是 SSL 证书

前几天我们讲了 ECC(加密算法),如果说 ECC 是**“锁芯的技术”,那 SSL/TLS 就是“整套押运流程”,而 SSL 证书就是“押运员的身份证”**。

💡 冷知识
其实 SSL(Secure Sockets Layer)这个名字已经过时 20 年了!现在的标准叫 TLS (Transport Layer Security)。但大家喊习惯了,改不过来了,所以现在通常混着叫“SSL/TLS”。

1. HTTP vs HTTPS:裸奔与装甲车

互联网传输数据的标准协议叫 HTTP

  • HTTP (裸奔)
    你给女朋友发消息:“晚上吃火锅”。
    这段文字在网线里传输时,就是明文。黑客、运营商、蹭网的隔壁老王,只要在中间截获了数据包,一眼就能看到你要吃火锅。

    • 风险:信息泄露、内容被篡改(比如运营商给你插播广告)。

  • HTTPS (装甲车)
    S 代表 Secure (安全)。也就是 HTTP + SSL/TLS
    你发消息:“晚上吃火锅”。
    SSL 协议会先把这句话塞进一个钛合金保险箱(加密),锁死,然后再扔进网线。
    中间人截获了数据包,只能看到一堆乱码:“#@¥%&*...”。
    只有你女朋友手里的钥匙(私钥/会话密钥)能打开箱子。

2. 什么是 SSL 证书?(网络身份证)

光有保险箱(加密)还不够。
这就好比:如果一个骗子拿着保险箱冒充你女朋友,骗你把钥匙交出来,怎么办?

这就需要 SSL 证书 出场了。

当你访问 blog.zlirui.netlib.re 时,服务器不仅要跟你的浏览器建立加密连接,还得先甩出一张**“身份证”**(证书),证明:“我就是这个博客,我不是黑客伪造的钓鱼网站!”

这张证书里包含了:

  1. 域名:颁发给谁的?(比如 *.netlib.re
  2. 公钥:大家拿这个钥匙锁箱子。
  3. 有效期:身份证过期了就没人认了。
  4. CA 签名:最关键的一点——公章

3. CA 是谁?(发证机关)

谁有资格发这张“身份证”?如果你自己用 PS 画一张(自签名证书),浏览器是不认的,依然会报红。

只有 CA (Certificate Authority,证书颁发机构) 发的证书,浏览器才认。
CA 就像是网络世界的公安局公证处

  • 微软、苹果、Google 在你的操作系统里内置了一份**“受信任的根证书列表”**。
  • 只有这些根 CA(或者被它们授权的中间 CA)签名的证书,浏览器才会显示那个绿色的小锁。

常见的 CA 机构有:

  • DigiCert / GeoTrust:收费贵,大银行、大企业用。
  • Let’s Encrypt免费! 它是互联网加密的最大功臣,旨在让全世界每个网站都用上 HTTPS。
  • Google Trust Services:Cloudflare 等厂商常用的 CA。

4. 证书的三六九等

既然 Let’s Encrypt 免费,为什么还有人花几千块买证书?因为证书也分等级:

  1. DV 证书 (域名验证)【入门级】

    • 审核标准:只要证明域名是你的就行(发个邮件或改个 DNS 记录验证)。
    • 特点:几分钟下发,通常免费。本博客用的就是这种。
    • 显示:一把小锁。

  2. OV 证书 (组织验证)【企业级】

    • 审核标准:要查你的营业执照,确保证书背后是个真实存在的合法公司。
    • 特点:收费,需要几天审核。
    • 显示:点开锁头能看到公司名字。

  3. EV 证书 (扩展验证)【土豪级】

    • 审核标准:查祖宗十八代,甚至会有律师尽调。通常是银行、证券交易所用。
    • 特点:死贵。
    • 显示:以前浏览器会直接在地址栏把公司名标成绿色(现在大浏览器为了界面简洁取消了这个设计,只显示锁头,但点开详情非常详细)。

5. Cloudflare 的免费证书是怎么回事?

你在 Cloudflare Pages 后台开启 HTTPS 时,发现没花钱就有了证书。这是因为 Cloudflare 充当了**“中间人”**。

  1. 边缘证书 (Universal SSL)
    Cloudflare 自动向 CA(比如 Google 或 Let’s Encrypt)申请了一张通配符证书,挂在它的全球节点上。
    用户访问你的博客,其实是先连接到 Cloudflare 的节点,看到的是这张证书。

  2. 端到端加密 (Full / Full strict)

    • Flexible:用户 <-> CF (加密),CF <-> 你的源站 (不加密)。(不推荐,不安全)
    • Full:用户 <-> CF (加密),CF <-> 你的源站 (自签名证书加密)。
    • Full (Strict):全程加密,且源站必须有合法的 CA 证书。(最推荐)

6. 总结

SSL/TLS 和证书,就是互联网信用的基石。

  • 它解决了**“保密性”**(别人偷看不了)。
  • 它解决了**“完整性”**(别人篡改不了)。
  • 它解决了**“身份认证”**(你就是你,不是钓鱼网站)。

所以,作为技术博主,如果以后看到谁的网站还在用 http:// 开头,记得提醒他:“兄弟,你的网站在网络上是在裸奔啊,赶紧去 Cloudflare 领套免费的衣服穿上吧!”

技术扫盲
#HTTPS #网络安全 #SSL #TLS #证书
浏览器左上角的小锁头:一文看懂 SSL/TLS 与数字证书
https://blog.zlirui.netlib.re/浏览器左上角的小锁头:一文看懂 SSL-TLS 与数字证书/
作者
小瑞子吖
发布于
2025年11月29日
许可协议