互联网启蒙于美国军方的内部网络,由于其是一个专网,初期网络规模小,处理能力低,设计的TCP/IP协议的核心是信息传递,很少涉及信息安全,因此,应用层协议http、smtp、ftp均是明文数据,未采用加密措施。
随者互联网的普及,互联网应用层出不穷,同时,由于互联网的爆炸性增长,接入互联网的节点泥沙俱下,带来各种各样的互联网威胁,如何辨别一个网站的身份,如何安全的传递机密或隐私信息,成为至关重要的问题。
SSL安全套结字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL证书(certificate ssl)的申请与配置。 决定购买何种SSL证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。本文将从技术层面对服务器证书的选择进行讨论。
技术层面:
1、 加密位数越高越好吗?
目前市场上的SSL证书中,对于加密位数有个加密位数越高越好的误区,SSL协议涉及到的加密的环节,有两个加密位数,一是证书公钥位数,分为512位、 1024位、2048位,主流的是1024位。一是会话秘钥(对称密钥)位数,分为40位,128位,256位,主流的是128位。公钥算法主要是用来加密会话秘钥,会话秘钥是SSL会话建立之后对会话内容进行加密,会话秘钥的长度和浏览器支持的密钥长度相关,微软的IE系列浏览器,有40位和128位两种,VeriSign SSL证书采用SGC技术,可以实现40位IE浏览器的128位强制加密,其他处于从属地位的浏览器,例如firefox,可以支持 256位会话秘钥。主流的密钥长度在目前的技术水准下,破解的难度相当高,暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的,且有效期较短,基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源,在密钥长度增加的同时,会带来更大的性能负载,在主流密钥长度可以提供足够安全的保障前提之下,更长的密钥长度只能带来无效的负载增加。
2、 证书链的层级越少越好吗?
目前市场上的SSL证书中,对于证书链的长短也有不少争议,有VerSign证书链在美国为二级,在中国为三级,三级证书链验证过程时间长的说法。其实,证书链的长短有多方面的原因,涉及到不同的安全级别、证书颁发策略,不能一概而论。证书链越长当然验证的时间也越长,不过在不超过四级的长度下,性能接近相同。比如,目前的VeriSign扩展验证EV SSL证书,就存在两条证书链,一条是三级,适用于IE7等新版本浏览器,一条是四级,适用于windows 2003下的IE6等稍旧版本浏览器。 由根CA直接签发证书的二级结构,需要根证书在签发证书时在线,如果,业务处于饱和状态就要求根证书一直在线,不符合一般CA安全的密钥安全管理原则,也极大的增加了根密钥的安全风险。因此,此类的证书已经不是主流的证书类型。