SSL证书对网站为什么那么重要，它和HTTPS协议是怎么配合保护我们的？

SSL证书的全称叫Secure Sockets Layer Certificate，中文翻译叫安全层证书；如果网站没有它的话，数据传输全程是无保护的状态，访客的账号密码和浏览记录、甚至是自身的信息都有可能被读取或篡改

但有了它的话数据传输的全程就会被加密，一些安全性会更好。它不仅是保障访客隐私的安全锁，也是提升网站可信度，提升搜索引擎排名的关键

SSL证书的作用

技术展开

SSL证书：网站的数字身份证加安全锁，由权威机构颁发，一般配置在服务器上。实现HTTPS加密传输，验证网站的真实身份，防止数据泄露

HTTPS协议：是带加密功能的超文本传输协议，也是HTTP的安全升级版。让网站、访客和浏览器之间的数据流加密，第三方无法查看和篡改

CA机构：是证书的颁发机构，比如阿里云、腾讯云和Let’s Encrypt等。能验证网站所有者的真实身份，确保证书不被冒用

不安全警告：是浏览器检测到网站无证书或过期、无效的提示，一般会自动弹出，能提醒我们谨慎访问，不然容易信息泄露

安全提示：一般地址栏会有个小锁图标，网站部署有效的SSL后就会显示出来，看见这个图标就可以放心访问了，也代表了一定的正规程度

技术纠正

SSL证书只能防止数据泄露，然后就没有任何作用了吗？

错，它除了能加密传输，还可以验证网站的真实性，避免访客误入不好的网页，同时搜索引擎（百度、360和搜狗等）也会优先收录HTTPS的站点，是很有用的

只有电商、金融等领域的网站才需要SSL吗？

错，哪怕你只是一个分享个人日记的小博客，或者是中小企业、工作室，反正一切的领域，它都是有必要被部署的。安全性始终都是重要的话题之一

SSL证书都要付费，免费肯定不好吧？

错，其实二者功能是一样的，只是付费证书得到的支持更多，功能更全面。但不管是哪种类型，基础功能都是一样的

它的工作原理是什么？

加密隧道

访客访问了部署SSL的网站时，浏览器会先向CA机构验证证书是否有效，确认它是真实的，不是假冒的

验证通过后，网站服务器和浏览器会协商一个专属的加密密钥，这个密钥只有双方能识别

加密传输

访客在网站上的所有操作，包括浏览页面、留言和下载的文件等所有数据都会通过这个加密隧道传输

第三方就算拦截到数据也无法破解

这些数据泄露的影响有哪些

为什么需要保护

很多人都觉得只是浏览个网页，也没输入什么重要的个人信息，可能就不会泄露真实的身份数据。但没证书的网站依然存在比较大的风险，甚至可能间接泄露重要信息

IP地址：通过IP就可以精准定义到你的大致地址信息，比如广西南宁青秀区某某街道某某小区

宽带信息：获取到IP后就能综合宽带运营商的入网信息，直接缩小到具体的用户范围

设备指纹：包括浏览器的型号、电脑和手机系统的版本、屏幕分辨率等细致的信息，每台设备都是不一样的

浏览轨迹：你在网站上浏览了哪些内容、停留了多久、点击了什么链接；这些行为数据会被全程明文传输，坏人可以很轻易获取到你的兴趣偏好

深层：不法分子不会只盯着单个网站的零散数据，他们会把多个渠道获取的信息整合，甚至能推断出你的职业、居住地、个人信息等

隐性风险

HTTP网站是有可能被劫持的，劫持后可能会在页面上植入假冒的登录框和问卷等弹窗，诱导你输入手机号和各种真实的信息

到那时候你就无法分辨了，如果你恰好是某个站点的用户，一下不就中招了吗？

但HTTPS不一样，它会验证网站的真实性，切断劫持和伪造等路径，而且你会和服务器之间建立加密隧道，IP什么的就无法被读取了

地址栏上的小锁图标是明确的官方认证标识，你可以一眼就分辨出是否正规