分类
协议

什么是SSL证书?

SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。SSL证书就是遵守SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure Socket Layer)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和Web服务器程序中,因此,仅需安装服务器证书就可以激活该功能了,即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

什么是SSL证书
什么是SSL证书

数字签名又名数字标识、签章 (即Digital Certificate,Digital ID )提供了一种在网上进行身份验证的方法,是用来标志和证明网络通信双方身份的数字信息文件,概念类似日常生活中的司机驾照或身份证。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、网上公文安全传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。

数字签名的流程图
数字签名的流程图

SSL认证原理

SSL证书

一份SSL证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。

IEClub的SSL证书
IEClub的SSL证书

SSL的工作原理中包含如下三个协议。
握手协议(Handshake Protocol)
记录协议(Record Protocol)
警报协议(Alert Protocol)

握手协议

握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议,握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。

记录协议

记录协议在客户机和服务器握手成功后使用,即客户机和服务器鉴别对方和确定安全信息交换使用的算法后,进入SSL记录协议,记录协议向SSL连接提供两个服务:
(1)保密性:使用握手协议定义的秘密密钥实现
(2)完整性:握手协议定义了MAC,用于保证消息完整性

警报协议

客户机和服务器发现错误时,向对方发送一个警报消息。如果是致命错误,则算法立即关闭SSL连接,双方还会先删除相关的会话号,秘密和密钥。每个警报消息共2个字节,第1个字节表示错误类型,如果是警报,则值为1,如果是致命错误,则值为2;第2个字节制定实际错误类型。


SSL证书功能

服务器部署了SSL证书后可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强度加密传输的,是不可能被非法篡改和窃取的。同时向网站访问者证明了服务器的真实身份,此真实身份是通过第三方权威机构验证的。也就是说有两大作用:数据加密和身份认证。

数据加密和身份认证
数据加密和身份认证

确认网站真实性(网站身份认证):
用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。当用户需要确认网站身份的时候,只需要点击浏览器地址栏里面的锁头标志即可。

保证信息传输的机密性:
用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。

其实现原理图如下图所示:

SSL加密实现原理
SSL加密实现原理

在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和最低128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。

最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10年。


SSL证书分类

SSL证书依据功能和品牌不同分类有所不同,但SSL证书作为国际通用的产品,最为重要的便是产品兼容性(即证书根预埋技术),因为他解决了网民登录网站的信任问题,网民可以通过SSL证书轻松识别网站的真实身份。

SSL证书的分类

SSL证书分为以下三类:

SSL证书的分类

Extended Validation SSL Certficate,扩展验证型SSL证书,简称EV SSL证书
EV型SSL证书经过最严格的信息验证,确保证书持有组织的真实性。
地址栏中显示公司名称;
浏览器显示安全锁标识;
128-256位自适应加密;
同一证书支持多种加密算法如:ECC/RSA;
适用于金融(银行、基金、证券、保险)、互联网金融(P2P、众筹、融资、理财类)、及对安全性要求较高的行业。

Organization Validation SSL Certficate,组织验证型SSL证书,简称OV SSL证书
OV型SSL证书验证企业身份及域名所有权,支持多域名扩展,可实现一个或多个站点经由多个域名的访问均得到安全保护。
浏览器显示安全锁标识;
128-256位自适应加密;
多域名支持同一证书支持;
多种加密算法如:ECC/RSA;
适用于互联网信息、电子商务、制造行业、政府、教育等行业。

Domain Validation SSL Certficate,域名验证型SSL证书,简称DV SSL证书
DV型SSL证书只验证域名所有权, 最快10分钟颁发,无需递交纸质文件,无需人工验证申请单位真实身份。
浏览器显示安全锁标识;
快速申请;
40/56/128/256位自适应加密;
可扩展通配符支持;
适用于小微企业、个人网站。

“什么是SSL证书?”上的一条回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注