分类
知识中心

SSL证书分层结构和安全功能

SSL证书位于应用层和传输层之间,它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。SSL协议本身分为两层:

上层为SSL握手协议、SSL密码变化协议和SSL警告协议;

底层为SSL记录协议。

SSL握手协议:是SSL协议非常重要的组成部分,用来协商通信过程中使用的加密套件(加密算法、密钥交换算法和 MAC算法等)、在服务器和客户端之间安全地交换密钥、实现服务器和客户端的身份验证。

SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输。

SSL警告协议:用来向通信对端报告告警信息,消息中包含告警的严重级别和描述。

SSL记录协议:主要负责对上层的数据(SSL握手协议、SSL密码变化协议、SSL警告协议和应用层协议报文)进行分块、计算并添加MAC值、加密,并把处理后的记录块传输给对端。

SSL是一种用于Web的安全通信标准,可以把它理解成分层体系结构中的一层,位于应用层和传输层之间,建立用户与服务器之间的加密通信,确保信息传递的安全性。数据经过它流出的时候被加密,再往TCP/IP送,而数据从TCP/IP流入之后先进入它这一层被解密,同时它也能够验证网络连接两端的身份。SSL可以对各种应用数据进行加密,如HTTP, POP, FTP等。SSL提供的安全机制可以保证应用层数据在传输时不被监听、伪造和篡改。

SSL工作在公共密钥和私人密钥基础上,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器端建立连接,服务器端把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个安全通道。

Web客户机通过连接到一个支持SSL的服务器,启动一次SSL会话。支持SSL的典型Web服务器在一个与标准HTTP请求(默认为端口80)不同的端口(默认为443)上接受SSL连接请求。当客户机连接到这个端口上时,它将启动一次建立SSL会话的握手。当握手完成之后,通信内容被加密,并且执行消息完整性检查,知道SSL会话过期。SSL创建一个会话,在此期间,握手必须只发生过一次。

SSL协议的优点是它提供了连接安全性,具有以下3个基本属性。

1)连接的私有性:在初始握手定义了一个会话密钥后,使用会话密钥进行加密通信。对数据的加密采用了对称加密技术,如DES和RC4等。

2)连接的认证性:通过密码技术(如RSA和DSS)来验证对等实体的身份。

3)连接的可靠性:消息传输使用一个带密钥的MAC(消息认证码),包括了消息完整性检查。其中MAC是通过把密钥和消息一起经安全哈希函数(如SHA和MD5)处理后得到的。

分类
知识中心

SSL证书通过加密保证安全

SSL证书在浏览器和Web服务器之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。同时,Netscape公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是HTTP over SSL,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。

然而,加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用HTTPS协议进行传输,那么该网站的性能和效率将会大大降低,而且没有这个必要,因为一般来说并不是所有数据都要求那么高的安全保密级别

网络上传输的数据很容易被非法用户窃取,SSL证书采用在通信双方之间建立加密通道的方法保证数据传输的机密性。

所谓加密通道,是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方,无法将密文恢复为明文,从而保证数据传输的机密性。

加解密算法分为两类:

对称密钥算法:数据加密和解密时使用相同的密钥。

非对称密钥算法:数据加密和解密时使用不同的密钥,一个是公开的公钥,一个是由用户秘密保存的私钥。利用公钥(或私钥)加密的数据只能用相应的私钥(或公钥)才能解密。

与非对称密钥算法相比,对称密钥算法具有计算速度快的优点,通常用于对大量信息进行加密(如对所有报文加密);而非对称密钥算法,一般用于数字签名和对较少的信息进行加密。

SSL证书加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有DES、3DES、AES等,这些算法都可以有效地防止交互数据被窃听。

对称密钥算法要求解密密钥和加密密钥完全一致。因此,利用对称密钥算法加密传输数据之前,需要在通信两端部署相同的密钥。

分类
知识中心

SSL证书的加密和SSL证书的使用情况

现在的网络技术飞速发展以及不断增加的公司将运用与事务放置到网上,网络隐私维护等疑问逐步得到了公司管理层及有关人士的注重,当公司在异地区域有分支机构或员工在外出差时如果更有效的衔接内网服务器和内网有关运用呢?不论是经过Windows服务器的远程桌面仍是专业VPN设备,咱们都会遇到传输的数据被外网人员sniffer盗取的疑问,这时根本的维护就需要依托天威诚信的SSL证书了。相信不少人都听说过SSL证书,也晓得他的特色,可是要想顺畅在公司中运用SSL证书则并不简略今天就给大家说说SSL证书的加密协议和SSL证书的使用情况,如果大家需要可以在天威诚信网站SSL证书申请。

一,通过SSL证书加密协议提供安全:

SSL协议位于TCP/IP协议与各种运用层协议之间,为数据通讯供给安全支撑。SSL协议可分为两层

SSL记载协议(SSL Record Protocol):它建立在牢靠的传输协议(如TCP)之上,为高层协议供给数据封装、紧缩、加密等根本功能的支撑。

SSL握手协议(SSL Handshake Protocol):它建立在SSL记载协议之上,用于在实践的数据传输开端前,通讯两边进行身份认证、洽谈加密算法、交流加密密钥等。

不论原理是啥样的,咱们要想顺畅运用这种加密安全协议就需要为通讯两边建立合法的SSL握手衔接,而这个衔接是经过导出与导入安全证书完成的,本文就将解说如何导出与导入安全证书。

二,用到SSL证书的情况:

SSL是安全加密协议,在内网运用并不多,通常都是在外网要拜访内网或许运用有关权限时用到SSL证书。从前经过SSL证书衔接过FTP,服务器的远程桌面和公司路由交流设备以及专业VPN接入设备。数据经过SSL加密后因为没有对应的证书入侵者无法经过sniffer类东西查看其内容。

SSL是一种安全传输协议,其全称是Securesocketlayer(安全套接层),该协议最初由Netscape企业发展而来,是加密通讯的全球化标准,已被广泛采用。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。对于网民来讲,在信用卡密码、银行账号、个人身份信息输入时均需要留意网站是否采用了SSL加密链接。因为SSL证书除了加密功能,还可以为网站提供身份验证服务。网民可以通过SSL证书查看网站的真实身份信息,避免登陆欺诈钓鱼网站。国内常见的SSL证书有Symantec赛门铁克(VeriSign)SSL证书,仅Symantec赛门铁克VeriSign)SSL证书全球就超过400万张。目前Symantec赛门铁克(VeriSign)SSL证书国内通过天威诚信签发各种数字证书产品,如招商银行、工商银行、建设银行、中国银行、光大银行、淘宝、红孩子、卓越亚马逊、凡客、国美电器等都是从天威诚信获取 SSL证书服务

分类
安全播报

协议漏洞来袭:天威诚信助力用户化险为夷

2014年4月一个名为“心脏出血”Heartbleed的漏洞是由安全公司Codenomicon和谷歌安全工程师发现。“心脏出血”属于高危漏洞,一个请求就可能窃取到一个用户帐号(返回服务器64K内存)。通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前的或已存储的传输数据,或在通信方使用完全正向保密的情况下,发动主动中间人攻击。攻击者无法控制服务器返回的数据,因为服务器会响应随机的内存块。

其次,漏洞还可能暴露其他用户的敏感请求和响应,包括用户任何形式的POST请求数据,会话cookie和密码,这能使攻击者可以劫持其他用户的服务身份。在其披露时,约有17%或五十万通过认证机构认证的互联网安全网络服务器被认为容易受到攻击。

同时另一个名为“贵宾犬”Poodle的漏洞被发现。它能通过网络访问发现加密的数据,让黑客获得用户的银行账户,电子邮件以及其他服务。“贵宾犬”是继“心脏出血”和“Shellshock”漏洞之后,这已经是今年发现的第三个互联网漏洞了,但是美国研究机构——科力斯的应用安全总监克里斯迪克表示其危险性不及前两个,只是程序较为复杂而已。美国国土安全局的网络顾问表示,黑客必须通过“中间人”才能利用该漏洞进行攻击,例如一些咖啡馆的公共Wi-Fi热点就特别容易受到“贵宾犬”攻击。

据此情况,赛门铁克VeriSign)证书亚太区战略合作伙伴“天威诚信”发出声明,SSL协议漏洞与SSL证书本身是无关的。SSL证书用于激活服务器和客户端之间的SSL传输协议。现有的SSL协议已发展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多个版本。其中SSLv2及SSLv3已被发现存在漏洞,推荐在服务器端配置关闭该协议,仅开启TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影响。俗话说,魔高一尺,道高一丈。相信能被发现的问题,就不是问题。就会有对策解决它。

分类
知识中心

协议漏洞来袭:如何安全防范方可化险为夷

2014年4月一个名为“心脏出血”Heartbleed的漏洞是由安全公司Codenomicon和谷歌安全工程师发现。“心脏出血”属于高危漏洞,一个请求就可能窃取到一个用户帐号(返回服务器64K内存)。通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前的或已存储的传输数据,或在通信方使用完全正向保密的情况下,发动主动中间人攻击。攻击者无法控制服务器返回的数据,因为服务器会响应随机的内存块。

其次,漏洞还可能暴露其他用户的敏感请求和响应,包括用户任何形式的POST请求数据,会话cookie和密码,这能使攻击者可以劫持其他用户的服务身份。在其披露时,约有17%或五十万通过认证机构认证的互联网安全网络服务器被认为容易受到攻击。

同时另一个名为“贵宾犬”Poodle的漏洞被发现。它能通过网络访问发现加密的数据,让黑客获得用户的银行账户,电子邮件以及其他服务。“贵宾犬”是继“心脏出血”和“Shellshock”漏洞之后,这已经是今年发现的第三个互联网漏洞了,但是美国研究机构——科力斯的应用安全总监克里斯迪克表示其危险性不及前两个,只是程序较为复杂而已。美国国土安全局的网络顾问表示,黑客必须通过“中间人”才能利用该漏洞进行攻击,例如一些咖啡馆的公共Wi-Fi热点就特别容易受到“贵宾犬”攻击。

据此情况,赛门铁克VeriSign)证书亚太区战略合作伙伴“天威诚信”发出声明,SSL协议漏洞与SSL证书本身是无关的。SSL证书用于激活服务器和客户端之间的SSL传输协议。现有的SSL协议已发展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多个版本。其中SSLv2及SSLv3已被发现存在漏洞,推荐在服务器端配置关闭该协议,仅开启TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影响。

俗话说,魔高一尺,道高一丈。能被发现的问题,就会有解决问题的办法出现。遇到漏洞别着急,可以咨询天威诚信安全专家了解。

分类
知识中心

Symantec SSL证书工作原理是什么?

将防护范围扩展到 HTTPS 之外

Symantec SSL Certificates 提供了更多服务,可帮助您保护网站,发展在线业务。SSL、漏洞评估服务和每日网站恶意软件扫描功能三者的完美组合,不仅可帮助您为站点访问者提供更安全的在线体验,还可扩大保护范围,将面向公众的网页包括在内,使其不局限于 https。诺顿安全认证签章和赛门铁克 Seal-in-Search 技术可让您的客户确认您的站点是安全的,能够为其提供从搜索到浏览再到购买的全程保护。

浏览器遇到 SSL 会发生什么情况

浏览器尝试连接受 SSL 保护的网站。

浏览器要求网络服务器确认身份。

服务器向浏览器发送其 SSL Certificate 副本。

浏览器检查它是否要信任该 SSL Certificate。如果信任,则向服务器发送消息。

服务器发回以数字形式签名的确认,启动 SSL 加密的会话。

加密的数据在浏览器和服务器之间共享。

 

加密保护传输中的数据

网络服务器和网络浏览器依托安全套接字层 (SSL) 协议创建以独特方式加密的通道,以此保护通过公共互联网传输的私人通信,进而帮助用户保护传输中的数据。每个 SSL Certificate 都由密钥对以及经过验证的身份信息组成。当网络浏览器(或客户端)指向安全的网站时,服务器会与客户端共享公钥,以确立加密方法和唯一会话密钥。客户端确认它认可并信任该 SSL Certificate 的颁发机构。该过程就是大家所熟知的“SSL 握手”,然后,开启一个保护信息隐私性和消息完整性的安全会话。

128 位强大加密形成的组合,是 40 位加密组合的 288 倍。强度超过了万亿倍。按照目前的计算速度,有时间、工具和动机的黑客使用暴力攻击需要万亿年才能侵入由 SGC 证书保护的会话。要对大多数站点访问者实现强大的加密,请选择 SSL Certificate,请选择可以对 99.9% 的网站访问者实施最低128位加密的SSL证书

 

凭据确定在线身份

用于确定身份的凭据随处可见:驾照、护照、公司徽章等。而 SSL Certificates 是网上世界的凭据,颁发给特定的域和网络服务器,独一无二,并由 SSL Certificate 提供商进行验证。浏览器连接到服务器时,服务器就会向浏览器发送身份信息。

查看网站的凭据:

单击浏览器窗口中的锁定挂锁图标

单击信任标记(例如 Norton™ Secured Seal (诺顿安全认证签章))

查看扩展验证 (EV) SSL 触发的绿色地址栏

 

身份验证让凭据值得信赖

凭据的可信赖程度取决于凭据颁发机构的可信度,因为颁发机构为凭据的真实性担保。证书颁发机构使用各种身份验证方法来验证企业提供的信息。赛门铁克是浏览器供应商所熟知和信任的领先证书颁发机构,因为我们采用了严格的身份验证方法和高度可靠的基础架构。浏览器扩展了这种信任,将赛门铁克颁发的 SSL Certificates 包括在内。

 

分类
知识中心

如何实现Tomcat http自动跳转至https

HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTPS,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面

与http区别:

一、https协议需要到ca申请证书,一般免费证书很少,需要交费。

二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

SSL协议:

SSL安全套接层协议(Secure Socket Layer)

为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全标准,但限制出境。只要3.0版本以上之IE.或Netscape浏览器即可支持SSL。

当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

SSL协议位于TCP/IP协议与各种应用层协议之间,是一种国际标准的加密及身份认证通信协议,为TCP提供一个可靠的端到端的安全服务,为两个通讯个体之间提供保密性和完整性(身份鉴别)。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

如何配置:

1、生成服务器端证书文件

可以使用Windows系统或者Linux系统

(1) Windows环境

条件:已经安装JDK

步骤:

l 进入%JAVA_HOME%/bin目录

l 执行命令

keytool -genkey -alias tomcat -keyalg RSA -keystore F:tomcat.keystore -validity 36500

参数简要说明:“F:tomcat.keystore”含义是将证书文件保存在F盘,证书文件名称是tomcat.keystore ;“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天

l 在命令行填写必要的参数:

A、输入keystore密码:此处需要输入大于6个字符的字符串

B、“您的名字与姓氏是什么?”这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你将来要在浏览器中输入的访问地址

C、 “你的组织单位名称是什么?”、“您的组织名称是什么?”、“您所在城市或区域名称是什么?”、“您所在的州或者省份名称是什么?”、“该单位的两字母国家代码是什么?”可以按照需要填写也可以不填写直接回车,在系统询问“正确吗?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息

D、输入<tomcat>的主密码,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以

l 完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件

(2) Linux环境

条件:安装了JDK

步骤:

l 进入$JAVA_HOME/bin目录

l 执行命令

./keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/ac/web/tomcat.keystore -validity 36500

参数简要说明:“/etc/tomcat.keystore”含义是将证书文件保存在路径/usr/local/ac/web/下,证书文件名称是tomcat.keystore ;“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天

l 在命令行填写必要的参数:

截图如下:

截图部分说明:

A、Enter keystore password:此处需要输入大于6个字符的字符串

B、“What is your first and last name?”这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你将来要在浏览器中输入的访问地址

C、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”可以按照需要填写也可以不填写直接回车,在系统询问“correct?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息

D、Enter key password for <tomcat>,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以

l 完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件

2、配置TOMCAT服务器

(1) 如果你是在Windows环境中生成证书文件,则需要将生成的证书tomcat.keystore拷贝到Tomcat将要引用的位置,假设tomcat的应用证书的路径是“/etc/tomcat.keystore”,则需要将证书文件拷贝到“etc/”下;如果是在Linux环境按照上述介绍的步骤生成证书文件的话,此时证书文件已经在“etc/”下。

(2) 配置Tomcat,打开$CATALINA_HOME/conf/server.xml,修改如下,

<Connector port=”8080″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”8443″ />

修改参数=>

<Connector port=”80″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”443″ />

 

<!–

<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS”/>

–>

去掉注释且修改参数=>

<Connector port=”443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS” keystoreFile=”/etc/tomcat.keystore” keystorePass=”www.gbcom.com.cn”/>

注释:标识为淡蓝色的两个参数,分别是证书文件的位置和<tomcat>的主密码,在证书文件生成过程中做了设置

<!–

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”8443″ />

–>

修改参数=>

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”443″ />

(3) 打开$CATALINA_HOME/conf/web.xml,在该文件末尾增加:

2.强制https访问

在tomcatconfweb.xml中的</welcome-file-list>后面加上这样一段:

Java代码

1. <login-config>

2. <!– Authorization setting for SSL –>

3. <auth-method>CLIENT-CERT</auth-method>

4. <realm-name>Client Cert Users-only Area</realm-name>

5. </login-config>

6. <security-constraint>

7. <!– Authorization setting for SSL –>

8. <web-resource-collection >

9. <web-resource-name >SSL</web-resource-name>

10. <url-pattern>/*</url-pattern>

11. </web-resource-collection>

12. <user-data-constraint>

13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>

14. </user-data-constraint>

15. </security-constraint>

3、上述配置完成后,重启TOMCAT后即可以使用SSL。IE地址栏中可以直接输入地址不必输入“http://” 或者 “https://” ;也可以输入 “http:// ” 会跳转成为 “https://” 来登录

4、注意事项:

(1) 生成证书的时间,如果IE客户端所在机器的时间早于证书生效时间,或者晚于有效时间,IE会提示“该安全证书已到期或还未生效”

(2) 如果IE提示“安全证书上的名称无效或者与站点名称不匹配”,则是由生成证书时填写的服务器所在主机的域名“您的名字与姓氏是什么?”/“What is your first and last name?”不正确引起的

分类
知识中心

用SSL证书解决假冒钓鱼网站

随着网络贸易的飞速发展,不仅让我们的生活发生了很大的改变,也给了很多不法分子利用钓鱼网站诈骗广大网民的钱财,要防止网站假冒的发生,需要在许多方面采取安全防范措施。有的需从管理方面着手,如域名注册的严格管理、实名制手机、安全防范教育等;有的需从技术方面入手,如确保域名解析系统的安全等。除了这些措施外,SSL服务器证书是目前防止网站假冒最有效的技术手段。

服务器证书是一个标识网站身份的电子身份凭证(electronic credential),它采用密码技术构造。安装了服务器证书的网站通过使用Secure Socket Layer(SSL)安全协议进行身份鉴别和数据保密传送,因此,服务器证书又称为SSL服务器证书,或SSL证书

这里的证书,又称为数字证书(digital certificate),是公开密钥基础设施(Public Key Infrastructure,PKI)安全技术和服务体系的一个重要要素,它由一个被称为证书认证机构(Certification Authority,CA)的独立第三方签发,用于标识最终实体的身份。这里的实体,可以是人、组织或设备(如Web服务器)。

SSL协议,又称为Transport Layer Security(TLS)协议,它基于密码学原理设计;在用户通过浏览器访问一个Web网站时,SSL协议可以基于数字证书进行单向(仅鉴别网站身份)或双向(同时鉴别用户和网站身份)的身份鉴别,并通过构建安全的加密通道,保证数据在互联网上传送时不被泄露、窃取。

在有了服务器证书后,一个用户可以根据如下两点来判断这个网站是否真实可信:1)这个网站是否安装了服务器证书?2)如果安装了,这个网站的服务证书是否可信和有效?

判断一个网站是否安装了服务器证书,可以看这个网站是否可以通过https:\\xxx形式的URL(Uniform Resource Locator)访问(URL,即是输入到浏览器地址栏的网站访问地址及访问方法信息),例如,https:\\www.icbc.com.cn。若是,则说明网站安装了服务器证书;否则,就没有。没有安装服务器证书的网站是通过http:\\xxx形式的URL访问的,例如,http:\\www.icbc.com.cn。二者的差别是,https比http多一个“s”。

即便网站安装了服务器证书,如果服务器证书不可信或无效,则在用户访问网站时,浏览器会弹出一个警告窗口,提示用户,比如该证书的签名无效,或者证书不是由一个可信的证书认证机构(CA)签发(即证书不可信),又或者该证书已过了有效期、证书上的主机域名与网站的域名不相符等等;如果证书可信并有效,则浏览器不会弹出警告信息。若证书可信并有效,则用户可以进一步通过点击浏览器右下角的黄色小锁,或地址  栏右边的黄色小锁,查看证书的详细信息(但用户通常不会这么做)。

如果网站安装了服务器证书,且证书可信并有效,那么,这个网站就基本上可以确定是真实可信的了。