SSL记录协议负责处理所有消息的加密。此协议提供了一种通用格式,用于构建握手、警报、ChangeCiperSpec和应用程序协议的所有消息。换句话说,它为其他更高层协议(即握手协议,更改密码规范协议和警报协议)提供了基本安全性。
该协议由汇总的数据,消息类型,版本,长度和数字签名组成,使其长度为8个字节。但是,有时帧可能会具有填充和填充长度,因为存在固定的记录长度。
此协议提供与 SSL 相关的警报,因为它负责处理可疑类型的数据包。
通常,它处理三种不同类型的警报消息:
在这里,会话根据接收到的消息(即警告或严重)或者终止(致命)进一步限制。
更改密码规范协议用于向密码策略中的转换发出信号。它包含一条消息,该消息的单个值字节为 1。此协议的目的是在连接状态下压缩和加密该消息。同样,此协议的消息由参与方服务器和客户端发送,用于通知接收方连续记录将受到新交换的CipherSpec和密钥的保护。
SSL握手协议是建立HTTPS连接的进程的技术名称。几乎所有重要的工作都是在这个协议中完成的。换句话说,它在服务器和客户端之间建立安全通道。
SSL握手协议的主要目的是执行具有安全连接所需的所有加密工作,例如检查SSL证书的真实性,它们是否由受信任的证书颁发机构创建和签名,证明服务器拥有的私钥与证书相关联,并且整个SSL握手是在几百毫秒内完成的。此外,SSL握手是HTTPS连接中发生的第一件事,甚至在网页完全加载之前。
每个软件彼此不同。因此,握手协议的第一步允许客户端和服务器共享其功能,以找出相互支持的加密功能。例如,Web浏览器是典型的客户端之一,但它们的功能因Microsoft Internet Explorer,GoogleChrome和Mozilla Firefox等浏览器而异。同样,当涉及到服务器时,如Windows Server,Apache和NGINX,它们的功能彼此不同。
虽然有一点需要注意,SSL握手是一系列几个步骤,这些步骤是为了完成以下三个主要任务而完成的。
如果您有兴趣了解确切的过程是什么,以下是完整的说明步骤。(请注意,在即将推出的协议版本TLS1.3中,握手设计已更改。因此,这些步骤与TLS1.2相关。
| 步骤编号 | 消息 | 行动 |
|---|---|---|
| 1 | 客户你好 | 这是第一步。在这里,客户端通过发送消息”ClientHello”来启动握手,该消息推荐将在整个 SSL 会话期间使用的 SSL 参数。 |
| 2 | 服务器你好 | 在这里,服务器使用消息”ServerHello”响应客户端,其中包含从提供的列表中选定的 SSL 参数,这些参数将在 SSL 会话期间使用。如果客户端和服务器无法共享公共参数,则连接将立即终止。 |
| 3 | 证书 | 在这里,服务器将向客户端发送 SSL 证书链(包括叶证书和中间证书)。然后,客户端将通过验证证书和证书链的数字签名并检查证书数据是否存在任何潜在问题(证书是否过期,域名错误等)来开始检查证书是否合法。客户端还将确保服务器拥有证书的私钥,并且整个过程在密钥交换/生成期间完成。 |
| 4 | ServerKeyExchange | 这是一条可选消息,当某些密钥交换方法要求服务器提供其他数据时,需要该消息。 |
| 5 | 服务器HelloDone | 在这里,服务器完成了 SSL 协商的一部分。换句话说,此消息”ServerHelloDone”告诉客户端所有消息都已发送过来。 |
| 6 | 客户端密钥交换 | 在这里,客户端发送有关会话密钥的信息,该密钥是使用服务器的公钥加密的。 |
| 7 | 更改密码规格 | 在这里,客户端向服务器提供指令,指示它为将来发送的所有消息激活所有协商的 SSL 参数。 |
| 8 | 完成 | 客户端指示服务器验证 SSL 协商是否成功。 |
| 9 | 更改密码规格 | 在这里,服务器向客户端发出指令,以激活所有协商的 SSL 参数,以便将来发送消息。 |
| 10 | 完成 | 最后,服务器指示客户端验证 SSL 协商是否成功。 |
完成上述步骤表示完成SSL握手。现在,双方将拥有会话密钥,并将开始与加密和经过身份验证的连接进行通信。此时,可以发送”应用程序”数据的第一个字节(属于双方将通信的实际服务的数据-即网站的HTML,Javascript等)。
随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。
随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。
根据外行人的观点,
此外,SSL的工作可能看起来像一个无缝的过程。但是,在后台有几件事使SSL连接成功。例如,加密的不同类型的是什么,消息的身份验证是如何完成的,使用哪些密码和算法等等。
数字证书颁发机构使用公钥基础结构以及可靠的身份验证实践来对应用程序、软件和驱动程序的代码进行签名。流程如下:
赛门铁克(VeriSign)代码签名证书说简单点就是对网上发布控件、应用程序、驱动程序等实现数字签名,保证程序文件来源真实可靠和内容的完整性。举个简单的例子,你通过网上发布一个程序文件,很可能在传播过程中被某些人植入不良代码,但安装者并不知道软件在发出后到送到你手中这个过程是否被修改,所以安装者会选择宁可不安装。为了避免这一情况,你需要在软件发出前给软件签个名字,证明软件是你亲自发出的,同时价格包装将软件包起来不让其他人员修改,一旦修改收件人可以立刻识别出来包装已经损坏。上述所属就是赛门铁克(VeriSign)代码签名证书的重要意义,为程序软件打个包签个名。
开发商所发行的代码程序或内容若通过代码签名验证可提升软件的下载、采用率和发行率。
减少代码程序及内容出现错误讯息和安全性警告,建立品牌的信任关系。
防止使用者下载到含有恶意档案的代码程序及内容。
终端使用者透过互联网和行动网络下载、安装代码程序和内容时,由系统跳出开发者的信息,大幅提高安全性。
确保终端用户知道该软件是合法的,且该代码自发行以来没有被篡改过。
赛门铁克(VeriSign)代码签名证书可消除 Internet Explorer 以及 Windows 操作系统中弹出的不明发行商。
所谓完整性是指信息的准确度。若无法证明其完整性,通常也就意味着无法判断信息是否准确。
接收到的内容可能有误
由于HTTP协议无法证明通信的报文完整性,因此,在请求或响应送出之后直到对方接收之前的这段时间内,即使请求或响应的内容遭到篡改,也没有办法获悉。
换句话说,没有任何办法确认,发出的请求/响应和接收到的请求/响应是前后相同的。
比如,从某个Web网站上下载内容,是无法确定客户端下载的文件和服务器上存放的文件是否前后一致的。文件内容在传输途中可能已经被篡改为其他的内容。即使内容真的已改变,作为接收方的客户端也是觉察不到的。
像这样,请求或响应在传输途中,遭攻击者拦截并篡改内容的攻击称为中间人攻击(Man-in-the-Middle attack,MITM)。
如何防止篡改
虽然有使用HTTP协议确定报文完整性的方法,但事实上并不便捷、可靠。其中常用的是MD5和SHA-1等散列值校验的方法,以及用来确认文件的数字签名方法。
提供文件下载服务的Web网站也会提供相应的以PGP(Pretty Good Privacy,完美隐私)创建的数字签名及MD5算法生成的散列值。PGP是用来证明创建文件的数字签名,MD5是由单向函数生成的散列值。不论使用哪一种方法,都需要操纵客户端的用户本人亲自检查验证下载的文件是否就是原来服务器上的文件。浏览器无法自动帮用户检查。
可惜的是,用这些方法也依然无法百分百保证确认结果正确。因为PGP和MD5本身被改写的话,用户是没有办法意识到的。
为了有效防止这些弊端,有必要使用HTTPS。SSL证书提供认证和加密处理及摘要功能。仅靠HTTP确保完整性是非常困难的,因此通过和其他协议组合使用来实现这个目标。下节我们介绍HTTPS的相关内容。
VeriSign 数字签名门户可帮助您在保障网络和客户安全的前提下,同时兼顾创新和产品上市速度。
移动网络提供商纷纷借助更快的网络、更智能的设备和更具竞争力的应用程序展开激烈竞争,以争取用户和提高收入。移动网络运营商已转向不断发展的全球开发人员社区,向客户讲明使用其移动设备的更多理由。然而,存在缺陷或恶意的代码不仅会中断用户的服务,而且会将整个网络置于风险当中。
数字签名如何为移动网络提供商提供帮助.通过移动网络下载的软件,无论用户知情与否,总会带来一定的风险。在传统软件销售过程中,购买者可通过检查包装确认应用程序的来源及其完整性。VeriSign 数字签名创建了数字化的“保护膜”,可以显示代码的来源,并确认代码自签名以来从未修改过。VeriSign 数字签名门户让移动网络提供商可在代码到达其网络之前控制测试和审批过程。
确保访问来自经过审批的已知源的应用程序.根据 VeriSign 数字签名门户的要求,开发商只有通过了成熟严格的验证流程才能获得发行商 ID。开发商使用该发行商 ID 对代码进行签名,然后将其上载到 VeriSign 数字签名门户。VeriSign 可验证发行商签名,然后去除发行商的数字签名,生成新的密钥对,对其内容进行签名,然后将其连同新生成的供在发行商平台可靠使用的唯一内容 ID 发送回发行商。移动网络运营商如果要求开发商使用专用门户对其代码进行签名,那么用户访问的便是经过验证的已知源创建的应用程序。
融测试于审批过程中要在移动市场取得成功,需要通过不断地创新来争取用户和充分利用能创收的数据服务。网络提供商和移动平台供应商若将 VeriSign 数字签名融入其审批流程中,则可简化开发流程,从而加快产品上市速度。应用程序上载后,审查人员可以通过网络轻松访问应用程序的数字签名,从而加快审批速度。发行商 API 让开发商可以直接将 VeriSign 数字签名集成到其构建过程中。
更有效的控制,更全面的防护使用传统数字签名证书时,开发商都是使用同一数字签名对所有代码进行签名。如果发现存在缺陷的代码或恶意代码,则必须吊销该证书,而所有使用该数字签名的代码都将无效。
VeriSign 数字签名门户按照两步签名流程针对每一次数字签名事件创建唯一的数字签名。每个应用程序都有唯一的数字签名,所以,在跟踪和吊销某个数字签名时,不会影响对该开发商发布的其他代码和内容的访问。这样,网络运营商就可以对网络实施更严密的控制,实现更全面的网络防护,同时又可以推动创新。
两大趋势使数字签名比以往更重要: 一是移动和桌面设备个人用户应用程序呈爆炸性增长,二是恶意软件激增。越来越多的软件发行商和移动网络提供商要求提供来自受信任的证书颁发机构 (CA) 的数字签名,否则不接受分发的代码。VeriSign 数字签名比其他任何数字签名提供商支持的平台都要多。VeriSign 是 Windows Phone、AT&T Developer Program、Java Verified 和 Symbian Signed 应用程序的可靠数字签名提供商之一。
VeriSign 根证书的普及程度无人可比。我们的根证书已预装在大多数设备上,并内置到了大多数应用程序中。如使用 VeriSign 数字签名证书,系统会自动接受您的代码,便于代码的无缝下载。如果万一出现安全警告,则很有可能是建议您信任代码,因为它为 VeriSign 所信任。(是否出现安全警告取决于平台、应用程序和客户端的安全设置)。
数字签名包含内容完整性证明,这样,可以防止代码在未经批准的情况下被修改和分发。如果对应用程序进行签名时所用的哈希值与下载的应用程序的哈希值匹配,则说明该代码的完整性未受破坏。如果使用的哈希值不匹配,那么用户将收到安全警告,或无法下载该代码。VeriSign 数字签名证书包括一个可选的时间戳,用于延长数字签名的有效期。即使数字签名证书过期了,代码依然有效,这是因为在数字签名时可以验证该数字签名证书的有效性。
VeriSign 的网络门户和 API 集成可让您轻松管理数字签名并将其集成到开发流程中。简化的安全保障有助于加快产品的上市速度,同时保护代码完整性,减少安全警告。与其他任何 CA 相比,采用 VeriSign 的开发商和发行商更多。事实上,70% 的数字签名用户都选择了 VeriSign。
VeriSign 有助于实现无缝的用户体验,它能最大限度减少安全警告和安装故障,同时能最大限度提高代码分发量和创造收入机会。对您的代码进行签名可确保它不被篡改并确实是由您提供。使用 VeriSign 数字签名证书对您的代码进行签名,可以证明您受到数字签名安全领域领导者的信任,并确保您和您的客户获得安全可靠的体验。
与其他任何提供商相比,VeriSign 可以帮助您基于更多的平台向更多的客户提供您的应用程序和代码。与其他任何证书颁发机构 (CA) 相比,全球最受认可和信任的证书颁发机构 VeriSign 为更多的开发商和发行商所依赖。我们拥有出色的身份验证实践、公钥基础架构以及技术支持团队,可以确保您和您的客户获得安全可靠的体验。
数字签名使用公钥加密技术保护和验证代码。
1、开发商使用数字签名证书中的唯一私钥向代码或内容中添加数字签名。
2、用户下载或遇到已签名代码时,用户的系统软件或应用程序会使用公钥解密该签名。
3、系统查找含有它所信任或识别的 ID 的“根”证书,以验证该签名。
4、然后,将对该应用程序进行签名时所用的哈希值与下载的应用程序的哈希值进行比较。
5、如果系统信任该根证书且哈希值匹配,则继续下载或执行。
6、如果系统不信任该根证书或哈希值不匹配,那么系统会显示警告并中断下载过程,或下载过程失败。
自签名数字证书与签名者所拥有的根证书相关联。大多数情况下,您的根证书不适用于第三方软件和设备。代码下载失败或出现警告屏幕。
如果您注册数字证书,那么 CA 将验证您的身份并颁发与该 CA 根证书相关的证书。应用程序和设备内置了信誉良好的知名 CA 的根证书。应用程序或设备只要信任根证书就会信任您。Symantec 根证书的普及程度无人可比。我们的根证书已预装在大多数设备上,并内置到了大多数应用程序中,为最终用户提供了安全的无缝安装过程
在线咨询
您好,请问有什么可以帮助您?
SSL证书/代码(数字)签名证书/https证书
