iOS https认证 && SSL/TLS证书申请

 

1.下面列出截止2016年底市面上常见的免费CA证书：

腾讯云SSL证书管理（赛门铁克TrustAsia DV SSL证书）
阿里云云盾证书服务（赛门铁克DV SSL证书）
百度云SSL证书服务
Let's Encrypt

国内BAT免费证书期限均为1年，每个证书对应一个独立的域名，可以申请多个证书，前提是需要注册账号。
Let's Encrypt免费证书期限均为3个月，证书支持泛域名(支持多个域名)。

另外，补充2个已经被Firefox, Chrome等浏览器明确表示弃用的CA厂商：
StartSSL免费DV证书
沃通（Wosign）免费DV证书

 

2.以上对应的也有收费的

 

便宜的，这里列举几个：
Namecheap：Cheap SSL Certificates from $7.95/yr • Namecheap.com
Namecheap：SSL Certificates. Buy Cheap SSL Certs from $4.99/yr
cheapssl：Cheap SSL Certificates. Buy or Renew Cheapest SSL at $4.80
Gogetssl： https://www.gogetssl.com/domain-validation/comodo-positive-ssl/
Starfieldtech： https://www.starfieldtech.com/

贵的就不说了

 

3.自制SSL证书

 本文就不重复造轮子了，引用比较详细的文章链接（感谢原作者）

http://luckywnj.iteye.com/blog/1707048

http://www.cnblogs.com/ciaos/p/4887505.html

http://blog.csdn.net/fyang2007/article/details/6180361

http://blog.csdn.net/babydavic/article/details/8442817

 

4.iOS SSL处理

本文就不重复造轮子了，引用比较详细的文章链接（感谢原作者）
http://www.jianshu.com/p/6b9c8bd5005a
http://www.cnblogs.com/jys509/p/5001566.html
http://www.cocoachina.com/ios/20160928/17663.html
http://blog.csdn.net/super_haifeng/article/details/53464802

 

以下介绍下基础概念：

 

SSL证书简介

SSL（Secure Socket Layer）即安全套接层，是由Netscape公司提出的一种基于WEB应用的安全协议。SSL证书是一种包含SSL协议的证书，由数字证书提供商来提供。由于现今互联网的发展，SSL证书已经不仅限于提供一份SSL协议，更多的是代表着一种互联网络的身份认证。

工作原理

SSL是一种通过加密信息和提供鉴权，为用户提供网站安全的技术。一份SSL证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。

为什么需要安装SSL证书

SSL证书除了能确保网站信息传输的安全性之外，也是网站身份的一个标志，在一定程度上提高了用户对网站的信任度。另外，还有一点需要强调说明的是，早在2014年8月，谷歌开始对搜索引擎算法做出调整，并表示在同等条件下，使用https加密技术的站点在搜索排名上更具优势，并且谷歌也已经部属SSL证书。百度虽未明确表明该项因素是否会对网站排名产生影响，但百度自身也已经部属上了SSL证书。由此来说，未来网站部属SSL证书或将成为一大趋势。

SSL证书分类

• 通配符型SSL证书：指支持同一域名下的所有子域名验证的SSL证书类型；
• DV证书：域名验证证书，指只验证网站域名所有权的SSL证书，仅对网站机密信息进行加密，比较简易，无法向用户证明网站的真实身份；（只需验证网站的真实性便可颁发证书保护网站）
• OV证书：企业验证证书，指对网站所属单位的真实身份进行验证的SSL证书，标准型SSL证书，对网站机密信息进行加密，且能证明网站的真实身份；（须要验证企业的身份，审核严格，安全性更高）
• EV证书：扩展验证证书，指遵照全球统一标准颁发的SSL证书，对网站进行严格的身份验证，是目前安全级别最高的SSL证书；（一般用于银行证券等金融机构，审核严格，安全性最高，同时可以激活绿色网址栏）
• IV证书：个人验证证书，指对网站经营者个人真实身份进行验证的SSL证书，能对网站机密信息进行加密，且能证明网站的真实身份；
• 签名证书：主要用于对个人、企业或部门的PDF文档、代码、电子邮件及文件进行加密，签名认证。

如何识别网站是否使用SSL

SSL证书一般用于存在敏感信息（如密码等）传输的网站或者部分网页，最明显的标志便是页面网址是以https开头，而不是以http开头，一般都会是以“锁”图标开头。根据网站所采用的证书类型不同，部分证书允许网址显示绿色地址栏。用户可以点击“锁”图标查看该网站所使用的SSL证书详细信息。

如何选择SSL证书

首页用户可以权衡网站的业务范围，这里需要考虑的主要是是否选择支持多域名或多服务器的SSL证书，很多证书对域和子域、物理服务器的数量是有限制的。一般来说，购买普通SSL证书，系统会默认绑定一个主域名（如www.hostucan.cn），如果还需要绑定其他域名，那么就要选择支持多域名的SSL证书，允许用户绑定除主域名之外的其他多个域名，但一般新增绑定的域名会另收费用。

支持多服务器的SSL证书，即指一张SSL证书可同时部署在多台物理服务器上，这种情况一般DV/OV证书都支持，EV证书不支持，也就是说，一张EV证书只能用于部署一台服务器，如果需要部署多台，则必须购买多张EV证书。

另外需要着重考虑一点的就是证书的加密长度。这里有两个重要的参考指标：加密强度和根加密长度（即密钥）。加密强度分为40位、56位、128位、256位等，目前市面上主流加密强度是128位；根加密长度一般是1024位-2048位，EV证书一般都是采用的2048位加密长度，安全性更高。这里有点说明的是，加密长度越长，安全性越高，但是速度会更慢，价格也会更高。

小结

DV证书一般适用于不需传输太多用户敏感数据的商业建站，其安全级别较低。OV证书对于一些存在一定量的在线交易（传输敏感数据，如：用户信用卡号码等）的商业网站来说，是个不错的选择。其安全级别为中等。而事实上，如今越来越多的企业将其SSL证书升级至EV证书，该款证书价格较为昂贵，但其安全级别较高，是许多大型企业建站的最佳选择。

 

感谢以下文章以及原作者：

http://www.hostucan.cn/ssl

https://www.zhihu.com/question/19578422