SSL/TLS 证书提供的 5 项核心安全服务

　　SSL(现在主流是 TLS)依托非对称加密、对称加密、哈希算法，提供身份认证、数据加密、数据完整性、防重放、不可否认五大安全能力：

　　1. 服务器身份认证(最核心作用)

　　CA 权威机构给网站签发证书，客户端通过验证证书签名，确认访问的服务器是真实合法域名持有者，防范钓鱼网站、中间人伪装站点。

　　扩展：EV 证书可核验企业真实资质，浏览器地址栏展示企业名称。

　　简单说：确认「你访问的网站真的是官网，不是假站」。

　　2. 传输数据机密性(加密防窃听)

　　握手阶段用非对称加密协商出会话密钥，后续传输用对称加密加密所有通信数据(账号、密码、表单、Cookie 等)：

　　黑客抓包只能拿到密文，无法破解明文数据;

　　防止运营商、局域网、中间人窃听隐私数据。

　　3. 数据完整性校验(防篡改)

　　通信附带哈希摘要(MAC/HMAC)：

　　数据发送前生成摘要，接收方重新计算摘要比对;

　　传输中数据包被中间人篡改、删减，摘要校验失败直接丢弃报文，保证数据收发前后一模一样。

　　4. 防重放攻击

　　TLS 握手生成随机数 + 会话序号 + 时间戳，每条报文带唯一标识：

　　攻击者截获加密报文后重复发送(比如重复提交付款)，服务端识别重复报文直接拒绝，避免重复操作。

　　5. 不可否认(辅助，依赖证书签名)

　　基于证书绑定的公钥 / 私钥签名：

　　服务端用自身私钥签名关键业务数据，客户端用证书公钥验签;

　　签署方无法否认自己发送过该数据，多用于网银、电子签章等场景。

　　补充：浏览器表现

　　部署 SSL 证书后：

　　地址栏显示HTTPS + 安全小锁;HTTP 明文网站标记不安全。