分类
知识中心

企业如何避免SSL攻击

以下是企业网络中应避免的SSL攻击的常见方法:

避免使用自签名证书

很多时候,系统配置为使用未由授权和受信任的证书颁发机构签名或颁发的自签名证书。此类自签名证书没有证书颁发者的有效凭据或信息。他们也可能使用弱算法和弃用算法,如SHA1或RSA算法,具有弱密钥强度。此类服务器很容易被利用进行攻击,恶意用户可能能够在此类服务器上托管恶意代码。自签名证书只能用于测试,切勿在生产系统中使用。此外,服务器永远不应信任自签名证书

避免使用通配符证书

在面向公众的Web服务器上使用通配符证书会增加组织的风险,即黑客将使用服务器在各种恶意活动中托管恶意网站。为了克服此问题,组织应避免在生产系统上使用通配符证书,尤其是面向公众的系统。请改为为每个域和子域使用特定的证书。

避免未知的证书颁发机构

维持双方之间的信任取决于CA的可信度。在现实世界中,许多客户可能会依赖未知且在市场上不受欢迎的CA,因为它们提供更便宜的解决方案。从长远来看,这可能会使他们(客户)付出代价,因为攻击者可能会破坏这些CA并冒充合法CA来窃取大量关键信息。为了防止这种情况,组织应识别来自未知和不受信任来源的所有CA和证书,并丢弃或替换为来自受信任来源的CA和证书。

防止使用加密通信的攻击者

在当今世界,攻击者使用加密作为针对组织的工具。越来越多的网络犯罪分子正在使用SSL/TLS加密通信在企业网络和系统中植入恶意软件。随着这一趋势的发展势头,Gartner的一份报告称,50%针对企业的网络攻击将使用加密。对于企业来说,检查和解密这种流量将是一项繁琐的工作,特别是当他们没有能力这样做时。为了克服这个问题,组织应利用网络安全解决方案对SSL流量实施出站Web策略。他们还应该仔细区分应考虑在入站和出站方向上解密哪些加密流量配置文件。

避免使用过期的SSL/TLS证书

过期的SSl/TLS证书是全球服务中断的最常见原因。微软在其Azure服务中遇到了臭名昭著的服务中断,不得不向客户提供服务积分,给他们造成了巨大的损失。过期的证书还会导致组织容易受到MITM(中间人)攻击,因为攻击者可以轻松利用过期的证书。

为了保护您的组织免受这种情况的影响,应立即将所有过期的证书从系统中取出,并替换为活动/有效证书。

避免网络钓鱼攻击

网络钓鱼攻击旨在利用人类情感漏洞来欺骗他们并向攻击者提供敏感/个人信息。当用户以html等形式获取链接以提供有关自己的一些个人信息时,他们应注意该链接是安全的还是不安全的。安全链接的地址栏中有“https”,而不安全的链接只有“http”。

为了保护自己免受此类网络钓鱼攻击,如果您尝试访问的html页面不安全,SSL/TLS会向您发出警告消息。此外,如果您要离开安全页面并转到不安全的页面,SSL/TLS仍会向您发出警告。作为最佳实践,用户应始终使用真实的URL/网站以避免网络钓鱼攻击。

使用严格的SSL

在严格SSL(也称为完整SSL)中,对源服务器的身份执行额外的验证,以防止主动窥探和修改您在Internet上的流量。在现实世界中,SSL/TLS加密客户端和网站/服务器之间的通信。但是,MITM攻击诱使用户/客户端在不知不觉中与合法网站/服务器的虚假对应物进行交互。这就是严格的SSL出现的地方。SSL强制客户端的浏览器检查任何网站的身份验证证书,以确保它是否具有有效的证书。MITM攻击无法更改身份验证证书,因此达到了完整SSL的目的。

分类
公司新闻

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖

日前,全球领先的数字信任提供商DigiCert在马来西亚吉隆坡君悦酒店召开“2022年亚太区合作伙伴会议”。来自美国、日本、澳大利亚、韩国等多国DigiCert高管和合作伙伴齐聚一堂,共创数字信任与网络安全新生态。

作为DigiCert中国市场坚实可靠的合作伙伴,天威诚信受邀出席会议,并揽获2022年度最佳合作伙伴、年度卓越销售业绩奖等三项重量级大奖。

天威诚信揽获2022年DigiCert最佳合作伙伴等三项大奖-1

年度最佳合作伙伴是DigiCert战略合作模式中的最高资质,天威诚信是亚太地区该荣誉的唯一获得者,充分展现了天威诚信携手DigiCert在证书服务方面的突出优势和特殊贡献,印证了天威诚信的企业实力以及DigiCert对天威诚信的信赖和认可。

年度杰出销售业绩奖则是DigiCert颁发给年度销售业绩超百万美元机构的荣誉奖项。自从与DigiCert建立合作关系以来,天威诚信已多次获得该奖项,展示了天威诚信在亚太地区服务器证书市场中的极高占有率,以及市场、行业、客户对天威诚信在证书服务领域的长期高度认同。

天威诚信国际认证事业群总监安垠代表公司参加了会议。安垠表示,自2000年天威诚信将DigiCert TLS证书引入中国以来,双方在合作过程中积累了丰富的行业最佳实践,共同打造了完善的联合服务机制,依托证书服务持续为国内用户提供安全可靠的数字信任建设方案,赋能千行百业的数字化转型。

会上,双方就今后的重点合作方向达成了一致。安垠表示,天威诚信正积极布局推动与DigiCert在数字证书自动化等领域的深入合作,以更好地满足客户数字化转型需求,推动数字经济蓬勃发展。

DigiCert高管对天威诚信在中国市场取得的成就表示祝贺,并表示作为大客户覆盖率超过95%的CA机构,天威诚信拥有丰富的应对和解决各种复杂及突发情况的专业服务经验,并能够根据中国本地合规的要求,为国内企业和个人提供证书生命周期管理服务,将信任扩展到供应链和互联生态系统。

双方一致认为,伴随着中国企业数字化转型进程的加快,今后更需立足资源禀赋与服务优势,共同携手为中国企业的数字化转型聚势赋能,通过提供更有效的数字信任解决方案,同时进一步夯实本地化服务,实现应用场景快速落地,为更广泛的企业与个人的数字安全保驾护航。

分类
知识中心

SSL 握手协议

SSL握手协议是建立HTTPS连接的进程的技术名称。几乎所有重要的工作都是在这个协议中完成的。换句话说,它在服务器和客户端之间建立安全通道。

SSL握手协议的主要目的是执行具有安全连接所需的所有加密工作,例如检查SSL证书的真实性,它们是否由受信任的证书颁发机构创建和签名,证明服务器拥有的私钥与证书相关联,并且整个SSL握手是在几百毫秒内完成的。此外,SSL握手是HTTPS连接中发生的第一件事,甚至在网页完全加载之前。

每个软件彼此不同。因此,握手协议的第一步允许客户端和服务器共享其功能,以找出相互支持的加密功能。例如,Web浏览器是典型的客户端之一,但它们的功能因Microsoft Internet Explorer,GoogleChrome和Mozilla Firefox等浏览器而异。同样,当涉及到服务器时,如Windows Server,Apache和NGINX,它们的功能彼此不同。

虽然有一点需要注意,SSL握手是一系列几个步骤,这些步骤是为了完成以下三个主要任务而完成的。

  • 交换加密功能
  • SSL/TLS证书的身份验证
  • 交换或生成会话密钥

如果您有兴趣了解确切的过程是什么,以下是完整的说明步骤。(请注意,在即将推出的协议版本TLS1.3中,握手设计已更改。因此,这些步骤与TLS1.2相关。

步骤编号 消息 行动
1 客户你好 这是第一步。在这里,客户端通过发送消息”ClientHello”来启动握手,该消息推荐将在整个 SSL 会话期间使用的 SSL 参数。
2 服务器你好 在这里,服务器使用消息”ServerHello”响应客户端,其中包含从提供的列表中选定的 SSL 参数,这些参数将在 SSL 会话期间使用。如果客户端和服务器无法共享公共参数,则连接将立即终止。
3 证书 在这里,服务器将向客户端发送 SSL 证书链(包括叶证书和中间证书)。然后,客户端将通过验证证书和证书链的数字签名并检查证书数据是否存在任何潜在问题(证书是否过期,域名错误等)来开始检查证书是否合法。客户端还将确保服务器拥有证书的私钥,并且整个过程在密钥交换/生成期间完成。
4 ServerKeyExchange 这是一条可选消息,当某些密钥交换方法要求服务器提供其他数据时,需要该消息。
5 服务器HelloDone 在这里,服务器完成了 SSL 协商的一部分。换句话说,此消息”ServerHelloDone”告诉客户端所有消息都已发送过来。
6 客户端密钥交换 在这里,客户端发送有关会话密钥的信息,该密钥是使用服务器的公钥加密的。
7 更改密码规格 在这里,客户端向服务器提供指令,指示它为将来发送的所有消息激活所有协商的 SSL 参数。
8 完成 客户端指示服务器验证 SSL 协商是否成功。
9 更改密码规格 在这里,服务器向客户端发出指令,以激活所有协商的 SSL 参数,以便将来发送消息。
10 完成 最后,服务器指示客户端验证 SSL 协商是否成功。

完成上述步骤表示完成SSL握手。现在,双方将拥有会话密钥,并将开始与加密和经过身份验证的连接进行通信。此时,可以发送”应用程序”数据的第一个字节(属于双方将通信的实际服务的数据-即网站的HTML,Javascript等)。

分类
知识中心

SSL/TLS如何工作?

随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。

随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。
根据外行人的观点,

  • 首先,服务器或浏览器尝试与SSL安全网站(即Web服务器)连接。服务器或浏览器发出请求以识别Web服务器。
  • Web服务器将SSL/TLS证书的副本发送到Web浏览器或服务器。
  • Web服务器或浏览器会检查SSL证书是否可信。如果它值得信赖,它将向Web服务器发送一条消息。
  • 要启动SSL加密会话,Web服务器会发回经过数字签名的确认。
  • 最后,加密会话开始,加密数据在服务器/浏览器之间共享。

此外,SSL的工作可能看起来像一个无缝的过程。但是,在后台有几件事使SSL连接成功。例如,加密的不同类型的是什么,消息的身份验证是如何完成的,使用哪些密码和算法等等。

分类
知识中心

如果未安装SSL/TLS证书,可能会出什么错误?

如果未安装SSL/TLS证书,则很容易发生APT(高级持续性威胁)、中间人(MIM)和协议攻击等攻击。

APT(高级持续性威胁)

顾名思义,这是一种”高级”攻击,这意味着由精通技术并由外部实体资助充足的人进行的攻击。还使用了各种技术,如偷渡式下载和MicrosoftSQL注入。

此外,这是一种有针对性的攻击,是有目的的。但是,这并不意味着所有针对性攻击都是APT,因为它使用自定义的攻击方法,例如零日漏洞利用,病毒,蠕虫和许多其他技术。这是一种需要时间的攻击,并且通常在很长一段时间后(即在损害造成后)被注意到。

中间人(MITM)攻击

MITM是一个严重的问题,这是对身份验证功能的威胁。这是攻击者能够秘密更改两个认为他们直接相互通信的人之间的数据的攻击之一,并且由于它是使用假地址远程完成的,因此非常具有挑战性。换句话说,它是当两个系统被未经授权的实体拦截时发生的攻击之一。

协议攻击

它是专注于服务器资源的攻击之一。像Slowloris和HTTPFlood这样的攻击就是这种攻击的例子。HTTP洪水是一种攻击,通过描绘虚假的GET或POST请求而发生,使其看起来是合法的。此外,用于HTTP泛洪攻击的带宽较少,这会迫使服务器使用最大资源。另一方面,Slowloris是Robert”RSnake”Hansen的发明,是一种拒绝服务攻击工具,用于以最少的资源攻击Web服务器。换句话说,Slowloris试图通过HTTP泛洪保持多个连接的打开状态。所需的目标与HTTP标头的部分请求连接,该请求永远不会完成,导致拒绝来自客户端的任何其他连接尝试,因为攻击它充满了最大并发连接池。

分类
知识中心

SSL证书安全的功能和优势

SSL通过加密保护数据

SSL/TLS证书通过在客户端(Web浏览器)和服务器之间建立安全的加密隧道来保护网站访问者的敏感信息,包括他们的登录详细信息,密码,帐户详细信息和信用卡号。SSL/TLS证书配备了强大的256位加密标准,无法轻易破解。

SSL确认您的身份

在互联网上信任某人并不容易,您也无法确定您正在访问的网站是真实的。许多虚假网站通过使用他人的姓名欺骗访问者并获得敏感信息。SSL证书可以帮助避免这种情况。获取SSL证书的第一步是完成验证过程。SSL提供商通过基于CA/B(CA和Web浏览器的联合论坛)设置的某些规则和法规的过程来验证购买SSL证书的个人或组织的合法性。

SSL提供不可否认性

加密、完整性和身份验证的组合可建立不可否认性。这意味着担保交易中的任何一方当事人都不能合法地说他们的通信来自其他人。SSL删除了一方拒绝或换句话说”收回”他们在线传达的信息的选项。

有助于避免”不安全”警告消息

2014年早些时候,搜索引擎的领导者谷歌宣布,安装了SSL/TLS证书的网站将在搜索结果中获得更多的偏好,这是他们使整个网络安全和加密的使命的一部分。自2018年以来,谷歌Chrome和其他流行的网络浏览器(如Mozilla Firefox)已经朝着它迈出了更严肃的一步。随着他们最新的Web浏览器版本的发布,他们甚至开始在非SSL网站上显示”不安全”警告。有些网站甚至无法在这些流行的浏览器上加载。因此,如果您希望访问者访问您的网站,则必须使用SSL。

分类
公司新闻

天威诚信国密SM2算法证书通过奇安信、麒麟软件、统信软件联合认证

《中华人民共和国密码法》的实施和一系列相关网络安全政策的密集出台,为新创领域基于国内商用密码的数字证书的使用带来了更广阔的空间。国内自主商用密码系统的建设也随之掀起新的热潮。

但是,目前新创操作系统和浏览器预装国产商用密码数字证书的进度还比较缓慢,导致国产密码证书信任体系并未被市场广泛接受。因此,新创环境下的业务接入缺乏安全可信的信任基础。

基于安全共识

推动国密算法的应用和普及

有鉴于此,2021年8月26日,奇安信、麒麟操作系统、统信操作系统联合发布《商用密码证书信托计划》,公开受理国密数字证书发证机构的根申请。该计划对推动国内密码证书的实施和普及起到了强有力的推动作用,同时为我国CA机构的繁荣运营提供了有力支撑。

天威诚信国密SM2算法证书通过奇安信、麒麟软件、统信软件联合认证

作为国家工信部首批批准的电子认证服务机构,天威诚信vTrusSM算法独立根和国家根下的二级根近日通过了奇安信、麒麟操作系统和统信操作系统。认证并成为奇安信联合认证信任合作伙伴之一。

天威诚信成立于2000年,具有工信部、国家密码管理局、公安部授予的完整经营资质。是中国领先的电子认证服务运营商。

天威诚信利用加密、区块链、大数据等技术,将立法标准、司法实践标准与加密应用规范、电子认证业务规范相结合,构建完整的法律科技服务体系,为网络空间的人和事提供服务。、物、时空提供可信认证服务、智能签名服务、证据存证服务、出证服务、在线司法调解和司法协助等法律增值服务,为法治建设提供支撑和保障在网络空间。

天威诚信是第一家将全球SSL/TLS证书引入中国的电子认证机构,是国内知名的SSL/TLS证书服务商。在国密算法领域,天威诚信积极响应国家政策。公司自主研发的支持国密SM算法的vTrus SSL系列证书均已通过国家密码管理局的安全审查,并在360、红莲花等取得认证,预嵌国产浏览器。

依托国密算法

构建独立可信的网络环境

天威诚信近期成功root的奇安信可信浏览器,实现了Windows、新创、Mac全平台支持。具有秘密识别等抢眼功能,在最新的Chromium97内核上已支持国密算法

根据联合认证流程,通过商用密码根证书受信认证后,天威诚信所提交的根证书将按计划预置于奇安信可信浏览器及银河麒麟操作系统、统信操作系统中,天威诚信所签发的国密证书在操作系统和浏览器中自动受信,实现“一次审核、共同信任”,实现有效的身份鉴别、敏感信息安全存储与传输等,这对保证网络空间安全、可信时间、可信操作具备里程碑的意义。

目前,奇安信可信浏览器已经被广泛应用于党政、金融、石油、电力、电信、交通、航空航天、医院、教育等行业,以及外交部、教育部、科技部、工业和信息化部等26个国家部委,已经成为千万终端的业务访问入口。

今后,天威诚信将和奇安信、麒麟软件、统信软件一起,共同推动国产密码SM2算法的应用普及,助力基于国产密码数字证书的信创环境安全访问体系持续完善,为广大信创用户构建自主安全可信的网络环境基石

分类
公司新闻 解决方案

天威诚信 Apple ATS应用安全解决方案

Apple ATS(App Transport Securty)致力于提升应用数据传输安全性,建议在网络请求中采用https协议。2017年1月1日开始,Apple将在iOS 10和OS X10.12中强制启用https通讯。

 

什么是ATS?

 

新型加密技术-Forward Secrecy新型加密技术

 

SSL/TLS通讯协议-应用与后台通讯必须使用最新的TLS1.2版本https协议

 

SHA256算法-SSL/TLS证书

ssl证书,代码签名证书,服务器证书,ev代码签名证书

 

ATS的影响范围:浏览器类允许禁用ATS;App调用Safari进程,允许http方式连接后台服务器;影音多媒体应用,可通过http方式加载。

 

重要提示:开发者最好保证与App通讯的所有网络服务器都部署了 HTTPS 加密,否则可能会在应用审核时遇到大麻烦。
天威诚信SSL证书顺利通过AppStore安全审核。2000年天威诚信首度将Symantec引入中国,为中国企业提供SSL证书服务。稳定的认证运营奠定了天威诚信的发展方向,在鉴证及技术支持上天威诚信拥有丰富的实践经验,并且能够为客户承担相应的汇率风险,全年365天在线支持,在天威专业便是我们夯实的后盾。

 

天威诚信是Symantec在中国区合作时间最长、合作范围最广、合作层级最高的白金战略合作伙伴。天威诚信目前可提供Symantec 旗下全线数字证书产品,在2015年天威诚信荣获了赛门铁克度亚太地区冠军。
ssl证书,代码签名证书,服务器证书,ev代码签名证书

全网HTTPS的必要性
不仅仅是Apple ATS,Google Chrome、Android,以及下一代通讯协议http2,都在持续推进https协议的应用和普及。https将成为未来网络通讯协议的标配。
数据传输安全已成为企业互联网安全建设的重要环节,阿里巴巴和百度已经启用全站Https加密安全,并且阿里平台已经开始进行SSL证书的销售。SSL证书可有效防范各种新型攻击,提高用户信任度,醒目的绿色地址栏已经得到网民的认可,能有效的提升网民对网站的信息度,增加网民访问次数,提高合作量

分类
知识中心

HTTPS 登陆IOS9 拉开APP信息安全新大幕

IOS9一经问世,可以说秒杀无数果粉芳心。别的不多说,在续航续航还是续航的玩儿机年代,IOS9省电提升1小时,这魅力简直无法阻挡。

 

然而这次IOS9最大的变革,就是让HTTP退出系统舞台,取而代之的是HTTPS。我们身处在信息发达的年代,但是三大风险不容忽视:窃听风险,第三方可以获知通信内容;篡改风险,第三方可以修改通信内容;冒充风险,第三方可以冒充他人身份参与通信。正因如此,为了解决这三大风险而设计出SSL/TLS协议,希望达到所有信息都是加密传播,第三方无法窃听;具有校验机制,一旦被篡改,通信双方会立刻发现;配备身份证书,防止身份被冒充。

 

SSL/TSL是一个分层协议,共有两层组成,其中 SSL/TSL 握手协议允许服务方与客户方互相认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥。SSL/TSL的握手协议主要交换数字证书、随机数、机密通信协议这三个信息,以保证访问的安全。

 

此次IOS9引入了新特性App Transport Security (ATS)。iOS9系统发送的网络请求将统一使用TLS 1.2 SSL协议TLS 是 SSL 新的别称及HTTPS协议,采用TLS 1.2 协议,目的是强制增强数据访问安全,而且系统 Foundation 框架下的相关网络请求,将不再默认使用Http等不安全的网络协议,而默认采用TLS 1.2。服务器因此需要更新,以解析相关数据。

 

苹果的应用生态之庞大,只要是对手机比较感兴趣的都有所明了。如今,苹果IOS9的一纸号令,让HTTP协议走上台前,并且告诉大家,这个已经不安全了,必须是HTTPS协议,才能保证用户安全。乔布斯重新定义了手机,如今,库克很可能要去重新定义手机安全。数据安全才是未来信息社会的大势走向。

 

其实说起来,HTTP变身成HTTPS,并非什么难事。这中间,就差着一个数字证书认证。只需要找到一家有从业资格的数字证书颁发CA机构,就可以很顺利地进阶为HTTPS。目前笔者了解的,在国内比较权威的数字证书颁发CA机构,是天威诚信itruschina)。天威诚信为支付宝、联想、招商银行等大型企业提供了网络安全认证服务,有着十多年的从业经验。想继续在IOS的应用市场里占有一席之地,找天威诚信这样的认证机构去升级HTTPS,必不可少。

 

手机市场从来红海一片,各方发布会是你方唱罢我登场。手机已经是出门三大件(手机、钥匙、钱包),低头族指尖族就在身边。关心用户信息安全,这体现的是浓厚的企业人文关怀。苹果用实际行动证明了这点,接下来,安卓机是不是见贤思齐呢?

分类
知识中心

SSL证书和TLS证书安全通信机制

为了更好地理解SSL证书TLS证书,我们来观察一下HTTPS的通信步骤。

步骤1: _客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。

步骤2: _服务器可进行SSL通信时,会以Server Hello报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤3: _之后服务器发送Certificate报文。报文中包含公开密钥证书。

步骤4:  最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束。

步骤5:  SSL第一次握手结束之后,客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。

步骤6:  接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密。

步骤7:  客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

步骤8:  服务器同样发送Change Cipher Spec报文。

步骤9: 服务器同样发送Finished报文。

步骤10:  服务器和客户端的Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求。

步骤11: 应用层协议通信,即发送HTTP响应。

步骤12: 最后由客户端断开连接。断开连接时,发送close_notify报文。上图做了一些省略,这步之后再发送TCP FIN报文来关闭与TCP的通信。

在以上流程中,应用层发送数据时会附加一种叫做MAC(Message Authentication Code)的报文摘要。MAC能够查知报文是否遭到篡改,从而保护报文的完整性。

下面是对整个流程的图解。图中说明了从仅使用服务器端的公开密钥证书(服务器证书)建立HTTPS通信的整个过程。

 

SSL证书和TLS证书

HTTPS使用SSL(Secure Socket Layer)和TLS(Transport Layer Security)这两个协议。

A  CBC模式(Cipher Block Chaining) 又名密码分组链接模式。在此模式下,将前一个明文块加密处理后和下一个明文块做XOR运算,使之重叠,然后再对运算结果做加密处理。对第一个明文块做加密时,要么使用前一段密文的最后一块,要么利用外部生成的初始向量(initial vector,IV)。–译者注

SSL技术最初是由浏览器开发商网景通信公司率先倡导的,开发过SSL3.0之前的版本。目前主导权已转移到IETF(Internet Engineering Task Force,Internet工程任务组)的手中。

IETF以SSL3.0为基准,后又制定了TLS1.0、TLS1.1和TLS1.2。TSL是以SSL为原型开发的协议,有时会统一称该协议为SSL。当前主流的版本是SSL3.0和TLS1.0。

由于SSL1.0协议在设计之初被发现出了问题,就没有实际投入使用。SSL2.0也被发现存在问题,所以很多浏览器直接废除了该协议版本。

SSL速度慢吗

HTTPS也存在一些问题,那就是当使用SSL时,它的处理速度会变慢。

SSL的慢分两种。一种是指通信慢。另一种是指由于大量消耗CPU及内存等资源,导致处理速度变慢。

和使用HTTP相比,网络负载可能会变慢2到100倍。除去和TCP连接、发送HTTP请求o响应以外,还必须进行SSL通信,因此整体上处理通信量不可避免会增加。

另一点是SSL必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲,比起HTTP会更多地消耗服务器和客户端的硬件资源,导致负载增强。

针对速度变慢这一问题,并没有根本性的解决方案,我们会使用SSL加速器这种(专用服务器)硬件来改善该问题。该硬件为SSL通信专用硬件,相对软件来讲,能够提高数倍SSL的计算速度。仅在SSL处理时发挥SSL加速器的功效,以分担负载。

为什么不一直使用HTTPS

既然HTTPS那么安全可靠,那为何所有的Web网站不一直使用HTTPS

其中一个原因是,因为与纯文本通信相比,加密通信会消耗更多的CPU及内存资源。如果每次通信都加密,会消耗相当多的资源,平摊到一台计算机上时,能够处理的请求数量必定也会随之减少。

因此,如果是非敏感信息则使用HTTP通信,只有在包含个人信息等敏感数据时,才利用HTTPS加密通信。

特别是每当那些访问量较多的Web网站在进行加密处理时,它们所承担着的负载不容小觑。在进行加密处理时,并非对所有内容都进行加密处理,而是仅在那些需要信息隐藏时才会加密,以节约资源。

 

要进行HTTPS通信,证书是必不可少的。而使用的证书必须向认证机构(CA)购买。如全球权威认证机构VeriSign威瑞信),业务范围全球服务网络遍及全球,面向各地客户提供PKI及SSL证书服务。在SSL证书业务上,VeriSign通过强大的加密功能和严格的鉴权措施,保护着全世界超过 500000 台 Web 服务器的安全。为了让全球客户都能享受到SSL证书所带来的安全保障,VeriSign通过严格的评价机制,在全球选择了解当地业务情况,运营规范的企业 作为VeriSign SSL代理合作伙伴,确保SSL证书准确高效签发。