標籤:

大致介紹下SSL?

01-01

安全套接字協議

SSL協議是 NetScape 公司於 1994 年提出的一個關注互聯網信息安全的信息加密傳輸協議,其目的是為客戶端(瀏覽器) 到伺服器端之間的信息傳輸構建一個加密通道,此協議是與操作系統和 Web 伺服器無關。同時, NetScape 在 SSL協議中採用了主流的加密演算法(如: DES 、AES 等) 和採用了通用的 PKI 加密技術。目前, SSL已經發展到 V3.0 版本,已經成為一個國際標準,並得到了所有瀏覽器和伺服器軟體的支持。

* 部署了SSL證書能說明什麼?

起初, SSL證書的主要角色就是為網站的機密數據提供加密傳輸功能,從而確保機密信息的機密性、完整性和不可否認性。但是,對於電子商務來講,用戶在向網站提交機密信息之前如果不能信任此網站,那再高強度的加密也是沒有用的,因為加密只是一種技術保護措施。所以, SSL證書標準也在不斷完善,使得 SSL證書不僅起到加密作用,而且成為了網站的電子身份證或稱「數字營業執照」,因為 SSL證書中將包含經過證書頒發機構驗證的單位名稱和所在地區等信息,這樣,就大大方便了在線用戶能實時查驗此網站是否是用一個現實世界的實體所擁有和是否就是網站上所聲稱的單位,從而讓用戶放心地從事在線交易。

* 不嚴格的身份驗證就頒發SSL證書給在線交易帶來了信任危機

數字證書頒發機構在維護在線身份的真實性上起到關鍵的作用,因為其頒發的證書就代表申請單位在網路世界的數字身份,數字證書頒發機構一定要嚴格驗證申請單位的真實身份,並把通過其驗證的信息包含在數字證書中。

但不幸的是,由於後來的數字證書頒發機構為了佔領市場或為了降低成本,就推出了只驗證域名所有權的 SSL證書(超快SSL) ,而不要求提供營業執照並驗證,這種 SSL證書只能起到加密作用,而不能起到最關鍵的真實身份認證的作用。而更糟糕的是:這種 SSL證書(超快SSL)在瀏覽器中同超真SSL證書一樣顯示一樣的安全鎖標誌,只要仔細查看證書主題才能發現:超快SSL 不顯示單位名稱(只顯示域名),而超真SSL 則顯示單位名稱。但一般用戶是不會查驗證書詳細信息的,只是在瀏覽器中看到有安全鎖就以為安全了。

如果兩個網站: http://www.ABCcompany.com 和 http://www.ABC-company.com 都申請了 SSL 證書,如何判斷哪個網站確實是 ABC company 的網站呢?這就是需要第三方的驗證資料,這體現在 SSL 證書上,需要仔細查看證書的主題信息,因為都會顯示一個「安全鎖」標誌,因為假冒網站是非常容易獲得只驗證域名所有權的 SSL 證書的,但這就給在線欺詐分子一個可乘之機,因為一般網上消費者根本就不能識別此 SSL 證書是否已經驗證真實身份。

* EV證書的推出就是為了解決SSL證書的信任危機

正是由於以上 SSL證書中存在的問題,就誕生了 EV SSL 證書。

當網站部署了 EV SSL 證書後,讓用戶使用 IE7 或其他新版瀏覽器訪問此網站時,其地址欄是綠色的,而地址欄右邊的安全狀態欄會循環顯示此網站所屬的單位名稱和頒發此證書的證書頒發機構,如下圖所示,綠色表示此網站的身份是經過嚴格的身份驗證的,而其他 SSL 證書則仍然顯示一般的白色:

SSL證書在網站信息安全上是至關重要的,它保護了信息的機密性、完整性和身份認證。而電子商務不僅需要加密,更重要的是需要增強在線消費者信心,讓消費者相信電子商務網站的真實身份,所以嚴格身份驗證的 SSL 證書對於電子商務來講是至關重要的。相信 EV SSL 證書的推出,一定會為電子商務提供更好的安全保證和身份保證。這樣,電子商務才能繼續快速而健康地發展,為人們提供安全可信的在線購物和其他在線服務。

【什麼是SSL(Secure Sockets Layer)】

SSL(Secure Sockets Layer)直譯過來是安全套接層。

我們使用網銀時,使用的HTTPS協議就是基於SSL層來實現的啊。

【SSL是處於網路通信的哪一個部分】

想要完全理解SSL,首先要談網路通信的四層模型(網路介面層、網路層、傳輸層、應用層)

要知道SSL處於哪一層

如圖,最底層是「網路介面層」

它替我們封裝了具體是用寬頻網線,還是光纖,還是WIFI、3G網路等各種的物理鏈路的訪問

往上走就是「網路層「

網路層協議中最著名的莫過於IP協議,有了IP相當於就能找到具體哪一台計算機

再往上走就是「傳輸層」

找到了計算機還需要通過具體哪個埠(Port)進行通信,該層的協議中有TCP/UDP協議

傳輸層再往上,就是「應用層」

我們的應用程序就可以通過類似HTTP的應用層協議,相互通信了

好了,從網路通信的四層模式上,我們知道HTTP協議建立在傳輸層協議之上

而HTTPS就是在兩者(應用層和傳輸層)之間加入一個SSL層,稱為加密傳輸協議。

【SSL具體的功能】

1)SSL在實際的數據傳輸開始前,通訊雙方會進行身份認證,確保數據發送到正確的客戶機和伺服器。

2)SSL對傳輸的數據進行了加密,防止數據中途被竊取

3)SSL對傳輸的數據進行了封裝,用以維護數據的完整性,確保數據在傳輸過程中不被改變。

4)SSL對傳輸的數據進行了壓縮

網站確實有需要用SSL

由於安全套接字協議(SSL)的成本低、速度快、使用簡單,對現在網路系統不需要進行大的修改,因而目前取得了廣泛的應用。但是SSL協議也有缺點:首先,客戶的信息可能先到商家,被商家閱讀,這樣,客戶資料的安全性就得不到保證;其次,SSL只能保證資料信息傳遞的安全,而傳遞過程是否有人截取就無法保證了。所以,SSL並沒有實現電子支付所要求的保密性、完整性,而且多方互相認證也是很困難的。http://ssl.ert7.com

SSL需要耗費大量的cpu資源,不過現在也有了相應解決方案,國內邁思源信息技術的Next SSL加速卡,可以完全卸載SSL壓力。1024-bit RSA可以做到300K/s, 2048-bit RSA 可以做到52K/s.

推薦閱讀:

如何防止用戶身份被偽造?
https能防止大家都有公鑰情況下的信息竊取嗎?能防止中間人攻擊嗎?
https 頁面上如何嵌入像優酷這樣的非 https 的外部資源?
網站從http轉到https需要多久?
開啟全站HTTPS後 , 用 Firefox 打開提示此連接不受信任,如何徹底解決這個問題?

TAG:網路安全 | SSL | HTTPS |