如果你的企業有意采購SSL,那么本文可以給一個很好的方向。在本文中,我們將先簡要介紹SSL定義及其工作原理,并探討目前各種可用的SSL證書類型以及企業如何選擇最佳的SSL。
SSL定義
SSL及傳輸層安全協議(TLS)是在服務器和互聯網客戶端之間創建加密鏈接的安全協議,通常是在Web服務器和Web瀏覽器之間。它們還用在電子郵件服務器及其客戶端之間。加密鏈接可保護服務器和客戶端之間傳輸的數據(例如登錄憑證和信用卡號碼),防止竊聽、中間人攻擊以及類似威脅。
雖然創建加密鏈接的工具仍然被稱為SSL加密工具,但由于漏洞問題,SSL及早期版本的TLS已不再被認為是安全的協議。現在最佳SSL做法會采用TLS 1.2(或更高版本),這是目前用于創建安全加密鏈接的標準技術。
SSL工作原理
為了創建安全連接,服務器和瀏覽器需要證書頒發機構(CA)向企業頒發SSL證書。CA是可信的第三方,其證書會驗證企業的身份是否已經認證。(盡管任何人都可以創建證書,但Web瀏覽器面對證書時會檢查其受信任的CA列表;為避免安全相關的錯誤消息,證書必須來自受信任的CA。)SSL證書包含企業機構的名稱、域名、物理地址以及證書的過期日期,還有有關CA本身的信息。
為了開啟這一過程,管理員必須激活Web服務器的SSL/TLS,創建一個證書簽名請求(CSR)文件,并填寫該證書所需要的企業信息。這個時候,服務器會創建兩個加密密鑰:私鑰和公鑰。公鑰包含在CSR文件中,其中會將企業的信息關聯到該密鑰,然后管理員會發送完整文件給CA,CA驗證文件中的信息并發布SSL證書。接著,接收Web服務器會將證書與私鑰進行比較。(CA沒有對私鑰的訪問權限;只有請求SSL證書的企業持有私鑰。)
請注意,為了獲得最高水平的安全性,企業應該至少使用2048位私鑰:小位數的密鑰已經被破解。現在很多企業都選擇4096位密鑰,但需要注意的是,現在有些智能卡和讀卡器還不支持超過2048位的密鑰。
使用SSL證書可在服務器和瀏覽器之間建立信任關系,而建立信任的過程涉及交換身份信息、SSL證書和密鑰,這被稱為SSL握手。當Web瀏覽器請求連接到Web服務器上的安全網頁時(通過在瀏覽器的地址欄輸入地址),服務器會發送SSL證書的副本和公鑰到瀏覽器。然后,瀏覽器會針對其信任CA列表來檢查該證書,以驗證該證書是來自可信方,驗證證書的有效性(有沒有過期)以及證書正在被對應的網站在使用。如果瀏覽器信任證書,它會發送消息回Web服務器,服務器會返回確認來啟動SSL加密會話,這意味著用戶可通過這個連接安全地發送機密信息。
Web瀏覽器會在瀏覽器中顯示掛鎖服務,并在地址欄使用https,讓用戶知道,該網站連接已加密且很安全。綠色地址欄表明擴展驗證SSL證書,我們將在下一章節里進行介紹。有些網站還會顯示來自CA的安全封條(標識)。
常見SSL證書類型
在購買SSL時,企業有很多問題需要考慮。為了選出最佳SSL,他們首先必須選擇可靠的證書提供商。國外一些商業供應商包括Comodo、賽門鐵克、Thawte、DigiCert、Entrust、GoDaddy、GlobalSign、Verizon、Trustwave以及GeoTrust,也有很多其他供應商。選擇可靠的CA可確保企業的公鑰和SSL證書會有效保護客戶端和服務器之間傳輸的數據,同時,當用戶訪問網站并看到已知實體的SSL封條時,可能會想到品牌聲譽和安全性。
三種常見證書類型是單名SSL證書、通配證書以及多域名證書。單名證書適用于單個域名或服務器,它很適合只需要保護一個域名或網站的企業;通配證書適用于域名及其一級子域;多域名證書讓企業可使用單個證書保護多個域名和網站。選擇正確證書類型完全取決于企業的網絡環境。
驗證又是另一回事。在驗證過程中,CA在發布SSL證書前會驗證申請人的信息。典型的驗證是域名驗證(DV)、機構驗證(OV)和擴展驗證(EV)。DV證書只會檢查域名注冊表,因此不能保證網站為合法。出于這個原因,DV證書不適用于商業用途。OV證書可證明企業已被驗證且是合法的,而EV證書則提供最高水平的網站驗證和身份保證。對于EV SSL證書,CA會執行最徹底的信息檢查,包括法律和業務歷史、身份驗證、域名控制等。這種類型的SSL證書通常比DV和OV更昂貴,主要由領先的企業使用。
如何選購最佳SSL?
為了選擇最佳SSL,應該選擇至少提供128位保護的供應商。現在,40位強度已被認為很弱,而112位密碼(例如3DES)則會很慢,并已不再廣泛使用。理想情況下,最好使用256位保護,每增強一倍意味著可更好地抵御大多數攻擊類型。
還應該考慮供應商的客戶支持及保證。與幾年前相比,現在部署SSL更容易,但它仍然必須安裝以及得到妥善管理才會有效。請確定你選擇的供應商是否提供全年無休的支持,以及優先升級,是否需要付費擴展支持等。此外,還應該確保當客戶因為發行不當的SSL證書而遭遇欺詐活動時,供應商會進行相應的賠償。
總結
所有收集或傳輸敏感信息的網站都必須部署最佳SSL來提供保護,如果不這樣做,很可能會遭致法律訴訟以及懲罰。同樣地,聲譽受損也可能會影響到未來業務。
京公網安備 11010502049343號