如果你的企业有意采购SSL，那么本系列文章可以给一个很好的方向。在本文中，我们将先简要介绍SSL定义及其工作原理，在下一篇文章中，我们将探讨目前各种可用的SSL证书类型以及企业如何选择最佳的SSL。

SSL定义

SSL及传输层安全协议（TLS）是在服务器和互联网客户端之间创建加密链接的安全协议，通常是在Web服务器和Web浏览器之间。它们还用在电子邮件服务器及其客户端之间。加密链接可保护服务器和客户端之间传输的数据（例如登录凭证和信用卡号码），防止窃听、中间人攻击以及类似威胁。

虽然创建加密链接的工具仍然被称为SSL加密工具，但由于漏洞问题，SSL及早期版本的TLS已不再被认为是安全的协议。现在最佳SSL做法会采用TLS 1.2（或更高版本），这是目前用于创建安全加密链接的标准技术。

SSL工作原理

为了创建安全连接，服务器和浏览器需要证书颁发机构（CA）向企业颁发SSL证书。CA是可信的第三方，其证书会验证企业的身份是否已经认证。（尽管任何人都可以创建证书，但Web浏览器面对证书时会检查其受信任的CA列表；为避免安全相关的错误消息，证书必须来自受信任的CA。）SSL证书包含企业机构的名称、域名、物理地址以及证书的过期日期，还有有关CA本身的信息。

为了开启这一过程，管理员必须激活Web服务器的SSL/TLS，创建一个证书签名请求（CSR）文件，并填写该证书所需要的企业信息。这个时候，服务器会创建两个加密密钥：私钥和公钥。公钥包含在CSR文件中，其中会将企业的信息关联到该密钥，然后管理员会发送完整文件给CA，CA验证文件中的信息并发布SSL证书。接着，接收Web服务器会将证书与私钥进行比较。（CA没有对私钥的访问权限；只有请求SSL证书的企业持有私钥。）

请注意，为了获得最高水平的安全性，企业应该至少使用2048位私钥：小位数的密钥已经被破解。现在很多企业都选择4096位密钥，但需要注意的是，现在有些智能卡和读卡器还不支持超过2048位的密钥。

使用SSL证书可在服务器和浏览器之间建立信任关系，而建立信任的过程涉及交换身份信息、SSL证书和密钥，这被称为SSL握手。当Web浏览器请求连接到Web服务器上的安全网页时（通过在浏览器的地址栏输入地址），服务器会发送SSL证书的副本和公钥到浏览器。然后，浏览器会针对其信任CA列表来检查该证书，以验证该证书是来自可信方，验证证书的有效性（有没有过期）以及证书正在被对应的网站在使用。如果浏览器信任证书，它会发送消息回Web服务器，服务器会返回确认来启动SSL加密会话，这意味着用户可通过这个连接安全地发送机密信息。

Web浏览器会在浏览器中显示挂锁服务，并在地址栏使用https，让用户知道，该网站连接已加密且很安全。绿色地址栏表明扩展验证SSL证书，我们将在下一章节里进行介绍。有些网站还会显示来自CA的安全封条（标识）。

在《SSL采购季（二）：如何选购最佳SSL？》中，我们将探讨目前各种可用的SSL证书类型以及企业如何选择最佳的SSL。