分类
知识中心

ssl加密是怎么样的?

SSL加密是一种常用的网络保护机制。在互联网信息大量传输的情况下,安全问题尤为重要。SSL加密为信息传输提供了一种安全性保障,被广泛应用于电子商务等领域。其主要原理是通过用公开密钥加密来保证数据传输的安全,同时也可以确保传输过程中的完整性和真实性。

SSL加密通过使用数字证书来确保传输双方的身份。公钥则可以用来加密和验证数据,而私钥则仅对于它的拥有者可见。数字证书分别与每个网站相关联,确保了数据只会被发送到其真正的目标地址。

此外,SSL加密中还使用了对称加密算法。该算法会在数据传输开始之前生成和分配一个主密钥,并使用该密钥进行加密。在数据发送方和接收方之间传输的数据通过使用此主密钥进行加密和解密来保护通信。

为了提高SSL加密的安全性,它还支持使用不同的加密协议和算法。协议选择和算法选择可以根据网络环境和需要进行调整,以满足不同的安全要求。

尽管SSL加密已经是网络安全的关键机制之一,但是在实践中,它也可能存在一些缺点和风险,其中包括中间人攻击、弱密码和证书颁发机构的漏洞等。因此,需要不断更新和优化SSL协议以提高其安全性。

总之,SSL加密在保障信息安全方面起着至关重要的作用。通过使用SSL协议进行数据传输,可以确保数据在传输过程中的完整性、真实性和保密性,从而为互联网的安全提供了基础保障。

天威诚信致力于成为数字时代安全可信支撑体系的核心力量。以法律为标准,以电子认证行政许可为依托,以数字化技术为手段,支撑构建安全可信的数字应用生态,推动数字经济安全、合规发展。运用密码、区块链、大数据、人工智能、云计算等技术,将立法标准、司法实务标准与密码应用规范、电子认证业务规范相融合,构建完整的法律科技服务体系,为数字世界中的人、事、物、时、空提供真实性证明服务,为数字世界法治生态建设提供支撑保障,守护数字世界秩序。

分类
知识中心

SSL证书,网站信息安全基础保障措施

在数字化、全球化的时代,网络攻击可能来自世界任何地方,可能导致企业机密信息和个人敏感信息被盗、经济和声誉受损,尤其对以线上交易为主的企业而言,网络攻击往往是致命的。

事实上,不仅仅是跨国大公司,中小企业和个人用户同样面临着网络攻击的风险,而且由于中小企业对网络安全建设投入较少,往往容易成为网络攻击者的首选目标,不仅会产生重大的财务影响,还可能因此失去客户和合作伙伴的信任。

网络安全对于保护企业财务数据、用户敏感信息、知识产权和机密商业信息等至关重要,对中小企业而言,如果想通过既简单又省钱的方式来保护网站信息安全,那自然非SSL证书莫属了。

在如今谷歌、百度等互联网巨头强制性要求网站HTTPS化的情况下,网站部署SSL证书已然成为互联网的发展趋势。部署SSL证书除了给网站的地址栏加一把小绿锁以外,还会带来其他许多好处,主要表现在以下几个方面。

提供身份验证

‍‍‍涉及到网络安全,身份验证是必不可少的。而安装SSL证书,网站就必须通过身份验证。通过后由权威第三方认证机构为用户颁发“网络身份证”,实现实体的物理身份与网络的虚拟身份绑定,确保网站所有者在虚拟网络世界的真实身份。

保护数据传输安全

SSL证书通过SSL协议对传入和传出站点的数据进行加密,可以保护数据不被任何试图访问它的恶意人员读取。即使发生数据泄露并且某些数据被截获,由于其涉及的加密级别,也几乎不可能被破解,可使访问者放心浏览。

防范网络钓鱼

钓鱼网站是由想要窃取用户信息的人创建的虚假网站,创建者很难获得有效的SSL证书。当用户在网站上看不到安全标志时,他们可能不会输入任何个人账户信息,而是直接离开此网站。所以有效的SSL证书可以防止对访问者的网络钓鱼攻击。

防止流量劫持

SSL证书可通过SSL协议为网络通信提供安全及数据完整性保护。在SSL握手阶段,客户端浏览器会验证服务器身份,防止信息被冒用。因此,如果攻击者发起DNS劫持会导致连接错误,服务器将被发现并终止连接,最终导致DNS劫持流量攻击无法实现。

提高网站SEO排名

部署SSL证书后,网站实现了真实性验证,有助于进行网站优化,提高搜索排名顺序,为SEO的目标和网站增强了安全系数,同时可吸引更多的用户进行访问,提升网站的价值,增加企业营收。
总的来说,SSL证书可有效保护企业以及用户的信息安全,提升企业网站竞争力。那么,如何获得SSL证书呢?

常规SSL证书申请颁发过程按照证书安全等级不同,需要进行一系列的安全认证,企业在通过认证后支付相应费用便可获得证书。但这一过程比较繁琐,所以建议企业选择权威CA机构提供的一站式服务,以节省申请、部署和维护SSL证书的时间和人力成本。

天威诚信是由工信部许可设立的国内权威CA机构,深耕SSL证书服务23年,产品类型众多,运营机制可靠,且具有服务于全行业95%以上的大客户经验,可为广大企业客户提供专业完善的SSL证书及认证服务,为网站开启HTTPS防护。

分类
知识中心

HTTPS协议是如何防中间人窃听的

HTTPS协议是在HTTP协议的基础上,通过添加SSL加密协议而成的,其载体就是SSL证书。SSL协议是一种用于网络通信安全的加密协议,可以将数据在传输过程中进行加密,防止中间人窃听,保证数据的机密性和完整性。

HTTPS协议是如何防中间人窃听的

那么,HTTP协议具体是如何防止中间人窃听的呢?要回答这个问题,我们就要明白HTTPS协议双方(客户端和服务器)的通信过程。

客户端发送请求

当用户在浏览器中输入一个HTTPS网址时,客户端会向服务器发送一个请求,请求将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

服务器回应

服务器确定本次通信采用的SSL版本和加密套件,并将携带自己公钥信息的数字证书发送给客户端,通知客户端版本和加密套件协商结束,开始进行密钥交换。

客户端验证证书并生成密钥

客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成密钥,并通知SSL服务器。

客户端发送密钥

客户端使用已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),发送给SSL服务器。

服务器解密密钥

服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

经过以上的验证和加密,HTTPS通信就建立了起来。此时,客户端和服务器之间的数据传输都是通过对称密钥进行加密的,通信过程非常安全。

理解了以上内容就会明白,客户端和服务器实现加密通讯最重要的过程就是验证SSL证书,只要证书是合规的,服务器是安全的,就可以防止中间人窃听和攻击。

SSL证书由专业的CA机构颁发和管理,所以是可信的。最后,要注意的是,当您浏览网页时遇到浏览器或手机端弹出安全警告时,一定不要随意信任和继续浏览,因为,黑客可能正在暗处等待着,窥探您的隐私并窃取数据。

分类
知识中心

如何修复 POODLE SSLv3 安全漏洞

POODLE=Padding Oracle On Downgraded Legacy Encryption.

这是一个最新的安全漏洞(CVE-2014-3566)代号,俗称“贵宾犬”漏洞。

此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全会出现严重隐患。

“贵宾犬”漏洞和之前的B.E.A.S.T(Browser Exploit Against SSL TLS)非常相似,处理方法也很接近。建议您手动关闭客户端SSLv3支持,或者关闭服务器SSLv3支持,或者两者全部关闭,即可有效防范该漏洞对您造成的影响。

以下是常见的几种web server修复方法

Apache

在Apache的SSL配置中禁用SSLv2和SSLv3:

SSLProtocol all-SSLv2-SSLv3

Nginx

在Nginx只允许使用TLS协议:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

IIS

IIS服务器需要执行注册表文件,通过修改注册表的方式来达到禁用SSLV3,也可以使用我们制作的一键式优化加密套件工具ItrusIIS.exe,可以通过一键式操作为IIS服务加密套件设置推荐配置。

下载地址:

https://www.ert7.com/download/ITrusIIS.exe

下载完成后,双击执行“ItrusIIS.exe”,选择“最佳配置”后点击“应用”。

服务器重启之后即可生效。

以及——

Tomcat

tomcat从7版本后是可以支持修改SSL协议的,在tomcat中的SSL配置中禁用SSLV3,配置如下:

如何修复 POODLE SSLv3 安全漏洞-1
如何修复 POODLE SSLv3 安全漏洞-2如何修复 POODLE SSLv3 安全漏洞-3

需要说明的是:该漏洞来自于SSLv3本身使用的算法RC4的缺陷,只能将SSLv3当作不安全协议禁用,强制使用TLS,但依然可以保障用户的信息安全,如发现该漏洞,请按照上述方法操作。

分类
网络新闻

国家新安全技术标准发布!公有云个人信息保护成关注焦点

近日,国家市场监督管理总局、国家标准化管理委员会发布了中华人民共和国国家标准公告(2022年第8号),全国信息安全标准化技术委员会归口的国家标准GB/T41574-2022《信息技术安全技术公有云中个人信息保护实践指南》正式发布,实施日期为2023年2月1日。

云计算作为新兴信息技术之一,支撑着数字经济发展,也是产业升级的重要基石,但只要是信息技术就绕不开“个人信息保护”这一铁律。事实上,国内外一些公有云厂商数据丢失的事件也屡见报道。伴随该标准的发布,不免令人心生疑虑,公有云环境下的数据信息真的不安全吗?

没有绝对的安全,只有相对的安全

云计算根据服务对象范围的不同,有四种部署模式:公有云、私有云、社区云和混合云,其中最常见的是公有云和私有云。公有云通常指第三方提供商为用户提供的能够使用的云,一般可通过Internet使用,其服务可能是免费或成本低廉的。

对用户来说,部署公有云后,不需要再投入成本建立数据中心,不需要进行系统的维护,在降低了使用成本的同时,可获得技术领先的云计算服务。尽管如此,仍有不少企业拒绝使用公有云而选择私有云,他们最大的担心就是数据安全问题。有企业直接表示,如果把所有数据托付给公有云服务商,就相当于失去原本属于自己的控制权,岂不是任何人都可以访问我的数据?

把云安全的讨论归结为“公有云不安全,私有云安全”的公式似乎过于简单化。因为,安全具有相对性:没有绝对的安全,只有相对的安全。一旦计算设备连上网络,都有可能遭受恶意的网络攻击,不管是公有云还是私有云,本质上面临的安全问题都是一样的。

部署SSL证书,实现数据安全传输

为了解决安全问题,IT巨头们投入了大量的人力物力财力。对于企业最关心的数据安全和用户个人信息安全问题,目前主流的技术解决方案是数据加密技术,其中尤以使用SSL协议加密最为普遍和实用。

国家新安全技术标准发布!公有云个人信息保护成关注焦点

SSL协议是一种全球化标准的安全通信协议,通过在服务器和客户端之间建立一条加密的通道,保障数据传输安全,保证信息不会被窃取和篡改。在当前,实现SSL协议的方式就是为网站安装SSL证书

安装SSL证书后,网站协议将从HTTP转换为安全HTTPS,网站的URL中也会添加一个可信任的绿色安全挂锁符号,确保访问者通过安全连接进行通信。SSL证书增加了网站的用户体验,并有助于提高其在Google搜索引擎结果页面上的排名。此外,它还验证了网站的真实性,避免了用户被钓鱼网站欺诈的风险,更有利于保护用户个人信息,赢得用户信任。

随着各类云平台、云产品的不断完善,云计算生态体系的不断壮大,为响应国家政策要求,也为给客户和合作伙伴提供更加安全可靠的服务,各类云服务商应持续强化安全意识,通过包括SSL证书在内的数据加密技术对云端关键数据进行加密处理,确保数据的存在性、完整性与可用性,保护用户隐私,不断提升云服务能力的专业性和可靠性。

作为工信部许可设立的首批全国性电子认证机构,天威诚信可为广大企业和各类云服务商提供支持国际和国密算法的全品类SSL证书服务,以及基于加密技术的各类密码应用服务,依托全面的安全解决方案和可靠的CA运营机制护航公有云的健康发展,守护企业数据与用户个人信息的安全。

分类
公司新闻

天威诚信vTrus证书入根两款国密浏览器,共筑国密生态安全

日前,天威诚信自主研发的支持国密SM算法的vTrus SSL证书成功入根赢达信、零信两款国密浏览器,标志着天威诚信在国产密码研发应用领域取得了新进展,进一步夯实了国密数字证书的安全根基。

天威诚信vTrus证书入根两款国密浏览器,共筑国密生态安全

长期以来,密码都是维护网络信息安全的核心技术和黄金标准。也正因如此,针对密码的网络攻击从未止息,甚至呈现愈演愈烈之势。随着密码技术的发展,DES、MD5算法早已被攻破,国际RSA算法也面临着严峻的安全挑战。

为应对密码算法应用中存在的问题,我国积极推动国产密码算法的研发和使用,先后研制和公布了SM2、SM3、SM4等一系列国密算法,并制定了相关标准,包括国密浏览器在内的各类国密安全产品应运而生,赢达信安全浏览器和零信浏览器正是践行国密算法应用,构筑国密生态安全体系的创新产品。

赢达信国密安全浏览器

赢达信国密安全浏览器由天津赢达信科技有限公司自主研发,主要应用于政企、金融和重要领域信息系统的安全办公应用。

浏览器支持SM2、SM3和SM4国密算法,支持基于国密算法的SSL协议,内置国密根证书,目前已获得国家密码管理局商用密码检测中心商用密码产品认证证书,先后在多个政企项目中成功应用。

零信浏览器

零信浏览器是由零信技术(深圳)有限公司基于开源Chromium研发的一款全面支持国密双证书和单证书的国密浏览器。其最主要特色就是优先使用国密算法实现HTTPS加密,网站部署国密SSL证书后,地址栏安全锁后面会增加一个“m”标识,以突显国密算法

此外,零信浏览器在使用HTTPS协议同服务器握手过程中就已经全部了解了SSL证书的安全部署情况,即在正常显示安全锁标识的同时显示网站安全体检评级级别,这是零信浏览器的全球独家率先创新实现,有利提升网站安全的整体水平。

随着《密码法》《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施,国内重要领域越来越需要实现网站安全的国密合规,并逐渐开始部署国密SSL证书,应用国密浏览器,以实现国密算法HTTPS加密

天威诚信vTrus证书入根两款国密浏览器,共筑国密生态安全1

作为国内首批获得《电子认证服务许可证》《电子认证服务使用密码许可证》的电子认证机构,天威诚信积极响应国家政策,依托深耕密码领域多年的技术优势,自主研发的支持SM2算法的电子认证服务系统/密钥管理系统已通过国家密码管理局的安全性审查,在此基础上研发了支持国密SM算法的vTrusSSL系列证书。

在国密SM算法替代国际RSA算法和泛在化应用不断加速的大趋势下,通过纵向深耕与横向协作,vTrusSSL证书已实现了在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器的根证书预埋,进一步提升了各国密浏览器的兼容性,并广泛应用于政府、电信、金融、能源等重点领域,保障关键信息的安全。

天威诚信vTrus证书的正式入根,意味着天威诚信将与赢达信国密安全浏览器和零信浏览器一起,携手发展壮大国密数字证书体系,共同承担维护国家重要领域和关键信息基础设施的安全责任,在为用户提供更安全使用体验的同时,共同助力国密生态安全的建设发展。

分类
安全播报

攻击http协议的常见方式

日前,Killnet黑客组织袭击了意大利,使用的是一种旧的但仍然有效的攻击方法,称为“慢速http”。意大利计算机安全事件响应小组(CSIRT)随即发布了一项紧急警报,以提高对国家实体遭受网络攻击的高风险的认识。

攻击http协议的常见方式-1

该事件再次引发了人们对http漏洞的关注。http协议虽然依旧是当前搭建网站的主流协议,但随着互联网技术的飞速发展以及如今日益严峻的网络安全问题,http协议的不安全性也越发明显,黑客攻击http协议仍然是最常见方式,具体主要有以下几种攻击方式。

01跨站脚本攻击(XSS)

攻击者在网页上发布包含攻击性代码的数据,当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击,例如CSRF攻击。

02跨站请求伪造攻击(CSRF)

攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据,或者执行特定任务的目的。为了假冒用户的身份,CSRF攻击常常和XSS攻击配合起来做,但也可以通过其它手段,例如诱使用户点击一个包含攻击的链接。

03HttpHeads攻击

凡是用浏览器查看任何WEB网站,无论你的WEB网站采用何种技术和框架,都用到了http协议。http协议在Responseheader和content之间,有一个空行,即两组CRLF(0x0D0A)字符。这个空行标志着headers的结束和content的开始。只要攻击者有办法将任意字符“注入”到headers中,这种攻击就可以发生。

04Cookie攻击

通过JavaScript非常容易访问到当前网站的cookie。你可以打开任何网站,然后在浏览器地址栏中输入:javascript:alert(doucment.cookie),立刻就可以看到当前站点的cookie(如果有的话)。攻击者可以利用这个特性来取得你的关键信息。假设这个网站仅依赖cookie来验证用户身份,那么攻击者就可以假冒你的身份来做一些事情。

05重定向攻击

最常用的攻击手段就是“钓鱼”。钓鱼攻击者,通常会发送给受害者一个合法链接,当链接被点击时,用户被导向一个似是而非的非法网站,从而达到骗取用户信任、窃取用户资料的目的。

部署SSL证书保护网站信息安全

随着互联网技术的不断发展,http在黑客层出不穷的攻击手段面前几乎毫无招架之力。为避免数据泄露,保障网站和用户信息安全,世界各国都督促其域内网站通过部署SSL证书的方式提升网站防护能力,尤其是涉及用户个人信息和交易系统的政务、金融、电商等网站,则被要求部署更高等级的SSL证书

部署SSL证书后,可通过SSL协议帮助网站从“http”进阶为更加安全的“https”链接,通过开启https绿色加密通道,可保障网站数据的加密传输,防止网站核心数据被窃取或篡改,提升网站的安全防护能力。

同时,SSL证书可对网站服务器身份认证,为网站提供国际通用的信任背书,让真假网站一目了然,从而有效避免用户受到钓鱼、欺诈网站的侵害,增加访客的信心。

此外,SSL证书还具有防止运营商的流量劫持,阻止弹窗广告,提升网站在搜索引擎中的排名等诸多作用,是企业在数字化转型过程中最基础的安全防护工具之一。

天威诚信SSL证书服务

需要强调的是,无论哪种网站,部署SSL证书都必须向依法设立的CA机构申请。成立于2000年的天威诚信是由工业和信息化部许可设立的电子认证服务机构,拥有国家授权的《电子认证服务许可证》《电子认证服务使用密码许可证》,并通过了WebTrust国际安全审计认证。

根据不同用户的需求,天威诚信可提供涵盖DigicertGeoTrustGlobalSign、Entrust在内的多品牌全类型SSL证书产品及安装、管理等专业化服务,以及自主研发的支持国密SM算法的国产vTrus证书,致力于为中国企业提供更加安全的网络空间防护保障。

分类
安全播报

红十字网站51万余人信息被盗 加强网络安全时刻不能松懈

近日,红十字国际委员会披露,其数据承包商遭遇网络攻击,导致“家庭团聚”项目信息泄露,超过51.5万人的个人数据被盗。 据悉,“家庭团聚”项目旨在帮助因战争、灾难和移民而离散的家庭团聚。 目前,该项目的系统和网站已被强制关闭。

对此,红十字国际委员会总干事罗伯托·马尔蒂尼在一份声明中表示:“这次袭击是对敏感人道数据的网络攻击,是一种犯罪行为,自袭击发生以来,一些流程和工具遭到破坏。我们已经做出调整并正在加强 我们的网络安全。”

近年来,数据泄露事件在各个领域频频发生。 尤其是对于企业网站和互联网平台,用户的身份信息、生物特征信息甚至财务信息等关键信息都可能存在泄露风险,由此带来的安全风险不可估量。

随着大数据的蓬勃发展,保障用户的信息安全显得尤为重要。 为了避免黑客攻击导致用户信息泄露的风险,一些关联关键用户信息的网站,如电子商务、金融、政府网站等,会在网站上部署适合自身业务的SSL证书

SSL证书是国际上保护网站安全和用户信息的有效手段之一。 具有数据加密传输和网站身份认证功能。

数据加密传输

我们平时上网和浏览都是基于标准的TCP/IP协议,内容以数据包的形式在网络上传输。 由于数据包的内容没有加密,任何人只要截获数据包,就可以获得其中的内容,包括用户名、密码或其他隐私信息。

SSL证书可以在用户使用的客户端(如:浏览器)与服务器之间建立加密通道(SSL协议)。 在这个通道中,所有在网络上传输的数据都会先被加密,传输到目的地的时候再解密,所以即使数据包在传输过程中被截获,也很难破译其中的内容。

网站编号

目前,假冒网站已成为互联网使用的严重威胁。 造假者可以创建与真实网站一模一样的界面,并使用相似的域名来引导用户访问。 一旦用户在使用假冒网站的过程中输入账号密码等信息,就会被假冒网站记录下来,进而被冒用,威胁用户的账号安全。

SSL服务器证书可以有效证明网站的真实信息和所用域名的合法性,让用户轻松识别真实网站和假冒网站。

当网站申请SSL证书时,颁发证书的权威机构(如天威诚信)会通过严格的审核方式确认申请人的身份。 用户访问网站时,可以看到证书的内容,其中包含了域名、网站所有者、证书颁发机构等真实信息,浏览器也会给出相应的安全标识,以便用户使用 它充满信心。

在互联网领域,数据管理是隐私的核心。 部署SSL证书不仅可以保护用户的隐私和信息安全,还可以大大增强用户对网站的信任,提升企业形象。 在数字经济时代,SSL证书通过加强网络安全,不断帮助企业在数字经济浪潮中获得更好的发展。

分类
知识中心

SSL证书分层结构和安全功能

SSL证书位于应用层和传输层之间,它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。SSL协议本身分为两层:

上层为SSL握手协议、SSL密码变化协议和SSL警告协议;

底层为SSL记录协议。

SSL握手协议:是SSL协议非常重要的组成部分,用来协商通信过程中使用的加密套件(加密算法、密钥交换算法和 MAC算法等)、在服务器和客户端之间安全地交换密钥、实现服务器和客户端的身份验证。

SSL密码变化协议:客户端和服务器端通过密码变化协议通知对端,随后的报文都将使用新协商的加密套件和密钥进行保护和传输。

SSL警告协议:用来向通信对端报告告警信息,消息中包含告警的严重级别和描述。

SSL记录协议:主要负责对上层的数据(SSL握手协议、SSL密码变化协议、SSL警告协议和应用层协议报文)进行分块、计算并添加MAC值、加密,并把处理后的记录块传输给对端。

SSL是一种用于Web的安全通信标准,可以把它理解成分层体系结构中的一层,位于应用层和传输层之间,建立用户与服务器之间的加密通信,确保信息传递的安全性。数据经过它流出的时候被加密,再往TCP/IP送,而数据从TCP/IP流入之后先进入它这一层被解密,同时它也能够验证网络连接两端的身份。SSL可以对各种应用数据进行加密,如HTTP, POP, FTP等。SSL提供的安全机制可以保证应用层数据在传输时不被监听、伪造和篡改。

SSL工作在公共密钥和私人密钥基础上,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器端建立连接,服务器端把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个安全通道。

Web客户机通过连接到一个支持SSL的服务器,启动一次SSL会话。支持SSL的典型Web服务器在一个与标准HTTP请求(默认为端口80)不同的端口(默认为443)上接受SSL连接请求。当客户机连接到这个端口上时,它将启动一次建立SSL会话的握手。当握手完成之后,通信内容被加密,并且执行消息完整性检查,知道SSL会话过期。SSL创建一个会话,在此期间,握手必须只发生过一次。

SSL协议的优点是它提供了连接安全性,具有以下3个基本属性。

1)连接的私有性:在初始握手定义了一个会话密钥后,使用会话密钥进行加密通信。对数据的加密采用了对称加密技术,如DES和RC4等。

2)连接的认证性:通过密码技术(如RSA和DSS)来验证对等实体的身份。

3)连接的可靠性:消息传输使用一个带密钥的MAC(消息认证码),包括了消息完整性检查。其中MAC是通过把密钥和消息一起经安全哈希函数(如SHA和MD5)处理后得到的。

分类
知识中心

SSL证书通过加密保证安全

SSL证书在浏览器和Web服务器之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。同时,Netscape公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是HTTP over SSL,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。

然而,加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用HTTPS协议进行传输,那么该网站的性能和效率将会大大降低,而且没有这个必要,因为一般来说并不是所有数据都要求那么高的安全保密级别

网络上传输的数据很容易被非法用户窃取,SSL证书采用在通信双方之间建立加密通道的方法保证数据传输的机密性。

所谓加密通道,是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方,无法将密文恢复为明文,从而保证数据传输的机密性。

加解密算法分为两类:

对称密钥算法:数据加密和解密时使用相同的密钥。

非对称密钥算法:数据加密和解密时使用不同的密钥,一个是公开的公钥,一个是由用户秘密保存的私钥。利用公钥(或私钥)加密的数据只能用相应的私钥(或公钥)才能解密。

与非对称密钥算法相比,对称密钥算法具有计算速度快的优点,通常用于对大量信息进行加密(如对所有报文加密);而非对称密钥算法,一般用于数字签名和对较少的信息进行加密。

SSL证书加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有DES、3DES、AES等,这些算法都可以有效地防止交互数据被窃听。

对称密钥算法要求解密密钥和加密密钥完全一致。因此,利用对称密钥算法加密传输数据之前,需要在通信两端部署相同的密钥。