電子證書現在大家都已經不陌生了吧？比如現在身份證明可以有電子版的（比如各種相關APP裡用以展示的EID、ECARD），駕照也可以有電子版的（交警APP裡的電子駕照）。這類電子證書為我們的生活帶來很大便利。

而且，由國家機關核發的這類證書，無論是實體的還是電子版的，都幾乎不會有發錯的可能性。但有意思的是，SSL證書作為伺服器電子證書，居然會有發錯的時候？

這又是怎麼回事呢，小E為大家慢慢道來。

什麼是SSL證書？

簡單說一下SSL吧。大家知道http://和https://網站的區別嗎？

SSL證書是數字證書的一種，因為配置在伺服器上，也稱為SSL伺服器證書。

SSL證書遵守 SSL協議，由受信任的數字證書頒發機構CA，在驗證伺服器身份後頒發，具有伺服器身份驗證和資料傳輸加密功能。

HTTPS是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。

SSL證書分類

域名型SSL證書（DVSSL）：DVSSL 即 Domain Validation SSL，中文俗稱“域名型SSL證書”，只驗證域名管理權， 10-50分鐘頒發，無需遞交紙質檔案，無需人工驗證申請單位真實身份，是一種非常經濟的 SSL 證書。

該型別證書保證了網站的資訊從使用者瀏覽器到伺服器之間的傳輸是高強度加密傳輸的，是不會被竊取和篡改的。但由於只驗證域名，此證書僅起到加密傳輸資訊的作用，並不能證明網站的真實身份。DVSSL 證書不在證書中顯示申請單位名稱，只顯示網站域名。

該類證書適用於中小型企業網站、中小型電子商務網站、電子郵局伺服器、個人網站等，同樣滿足iOS、谷歌等要求的APP分發下載必須使用https安全連線。

企業型SSL證書（OV SSL）：OVSSL 即 Organization Validation SSL Certificate，中文俗稱“企業型SSL證書”，通過證書頒發機構審查網站企業身份和域名所有權以證明申請單位是一個合法存在的真實實體，CA機構將在人工核實後簽發證書（一般在5-7個工作日簽發證書）。

OV SSL證書包含完整公司資訊，使用者可以在企業申請的SSL證書中檢視到該企業的公司名稱。該型別證書保證了網站的資訊從使用者瀏覽器到伺服器之間的傳輸是高強度加密傳輸的，是不會被竊取和篡改的。同時證書中體現了公司的真實身份，相比DVSSL更高的安全保險額度。跟域名型（DVSSL）比起來，該型別證書需要1-7個工作日稽核後才會頒發，同時價格更貴。跟增強型（EVSSL）比起來，該型別證書不能使瀏覽器位址列變綠直接顯示公司名稱。

此類證書適用於中小型企業網站、電子商務網站、電子郵局伺服器、與第三方（例如銀行、政府等）對接時需要的https安全連線、同樣滿足 iOS、谷歌等要求的 APP 分發下載必須使用 https 安全連線。

增強型SSL證書（EV SSL）：EVSSL 即 Extended Validation SSL Certificate，俗稱增強型SSL證書”，通過極其嚴格的審查網站企業身份和域名所有權，確保網站身份的真實可靠，是您最值得信賴的 SSL 證書。

與 DVSSL 證書、OVSSL 證書相比，EVSSL 證書具有最高級別可信度及安全性，顯示帶公司名稱的綠色位址列從而使訪問者更加確信以及更加放心的相信他們所進行交易的網站是真實合法的，提升線上交易量。該型別證書不僅確保資訊傳輸的安全性，同時能在所有主流瀏覽器的位址列上直接綠色顯示公司或者品牌名字，從而有效提升網站的轉化率和企業官方形象。

這種證書個人不能申請，價格略高於普通企業型；不支援萬用字元。適合所有企業，滿足所有要求企業 https 安全連線的使用場景。

SSL證書到底有啥用？

HTTP明文協議是不安全的傳輸協議，無法進行伺服器端真實身份校驗，也不能為傳輸資料提供加密保護，通過HTTP協議傳輸的資料時刻處在被竊聽、篡改、冒充的風險中。

如果你訪問一個網站默認了超文字傳輸協議（HTTP），其內容將明文傳輸。這意味著每個人在你和伺服器之間的位置都可以看到你與網站的每個互動內容。當用HTTP傳輸私人資訊（姓名，電子郵件，家庭住址，信用卡詳細資訊等），黑客可以輕易的從網路流量中擷取你傳送資訊。

例如，如果連線到Wi-Fi熱點，則你和伺服器之間通過HTTP傳輸的所有內容將對熱點中的每個參與者都可見。

是不是非常可怕，這也是不要輕易連線免費Wi-Fi的原因！HTTPS傳輸協議在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證伺服器的身份，併為瀏覽器和伺服器之間的通訊進行加密，確保資料傳輸到正確的伺服器端，並防止中間人竊取傳輸資料。

那SSL證書為什麼會發錯？

最近的一項學術研究發現，軟體錯誤和對行業標準的誤解是大多數錯誤簽發SSL證書的最主要原因，其所佔比例高達所有錯誤事件的 42％。這項研究是由印第安納大學布盧明頓分校資訊與計算學院的一個團隊撰寫的，他們研究了379起SSL證書籤發錯誤的例項，並總共發現了1300多個事件。

研究人員從公共資源收集了事件資料並得出結論，即“大多數錯誤簽發 SSL 證書的事件都是由軟體錯誤引起的”。

在他們分析的379個案例中，有91個（佔24％）是由CA的一個軟體平臺中的軟體錯誤引起的，導致客戶收到不相容的 SSL 證書。

第二個最常見的原因是CA誤解了CA/B 論壇規則，或者CA不知道規則已更改，有69起案件是這種情況，佔所有SSL證書籤發錯誤事件的 18％。

而惡意根CA導致的問題資料佔比排在第三位，有52個SSL證書籤發錯誤案例（佔所有分析事件的 14％）是CA故意作惡，為了利潤而破壞了行業規則，比如他們會給中間人攻擊者出售證書。

第四大最常見的原因是人為錯誤，有37例（佔總數的 10％）。

第五位是操作錯誤，其中錯誤是由於CA的內部程式錯誤，而不是軟體或人為錯誤，這佔了29例，佔所有案例的8％。

第六個根本原因是“非最佳請求檢查（non-optimum request check）”，該術語描述了檢查客戶身份時所犯的錯誤，通常允許流氓客戶假冒另一個實體，例如，惡意軟體作者獲得了SSL證書合法的公司。研究人員發現了24個此類事件，佔所有SSL簽發錯誤事件的6％。

SSL證書籤發錯誤的第七個最常見的根本原因是“不正確的安全控制”，這是一個通用類別，其中包括所有CA被黑或失去對其基礎結構的控制以允許第三方獲得 SSL 證書的情況。

那SSL證書到底安全嗎？

人無我有，人有我優。目前看來，SSL證書還是解決全球網際網路傳輸加密問題最好的方法之一。

當下，全球網際網路正在從HTTP向HTTPS的大遷移，Chrome和火狐瀏覽器將對不採用HTTPS 加密的網站提示不安全，蘋果要求所有APP通訊都必須採用HTTPS加密，小程式強制要求伺服器端使用HTTPS請求，正是順應了網際網路安全的趨勢。

而在我們使用的微信上，每個微信小程式必須事先設定一個通訊域名，並通過HTTPS請求進行網路通訊，不滿足條件的域名和協議無法請求。也就是說，請求request地址必須是合法域名，需要有SSL證書認證過。