分类
知识中心

HTTPS协议是如何防中间人窃听的

HTTPS协议是在HTTP协议的基础上,通过添加SSL加密协议而成的,其载体就是SSL证书。SSL协议是一种用于网络通信安全的加密协议,可以将数据在传输过程中进行加密,防止中间人窃听,保证数据的机密性和完整性。

HTTPS协议是如何防中间人窃听的

那么,HTTP协议具体是如何防止中间人窃听的呢?要回答这个问题,我们就要明白HTTPS协议双方(客户端和服务器)的通信过程。

客户端发送请求

当用户在浏览器中输入一个HTTPS网址时,客户端会向服务器发送一个请求,请求将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

服务器回应

服务器确定本次通信采用的SSL版本和加密套件,并将携带自己公钥信息的数字证书发送给客户端,通知客户端版本和加密套件协商结束,开始进行密钥交换。

客户端验证证书并生成密钥

客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成密钥,并通知SSL服务器。

客户端发送密钥

客户端使用已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),发送给SSL服务器。

服务器解密密钥

服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

经过以上的验证和加密,HTTPS通信就建立了起来。此时,客户端和服务器之间的数据传输都是通过对称密钥进行加密的,通信过程非常安全。

理解了以上内容就会明白,客户端和服务器实现加密通讯最重要的过程就是验证SSL证书,只要证书是合规的,服务器是安全的,就可以防止中间人窃听和攻击。

SSL证书由专业的CA机构颁发和管理,所以是可信的。最后,要注意的是,当您浏览网页时遇到浏览器或手机端弹出安全警告时,一定不要随意信任和继续浏览,因为,黑客可能正在暗处等待着,窥探您的隐私并窃取数据。

分类
知识中心

什么是SSL加密?

加密是密码学的基本应用之一。它用于使数据难以理解,以确保机密性。此外,加密已成为许多产品和服务不可或缺的一部分。通过使用SSL/TLS等现代加密技术,它也在互联网上广泛使用。

SSL/TLS是标准安全技术之一,在客户端(浏览器)和服务器(网站)或邮件客户端(如Outlook)之间提供加密链接,以安全地传输敏感信息,如信用卡详细信息,登录详细信息,社会安全号码。

但这一切是如何实现的呢?让我们了解一下SSL加密背后的技术,以提供安全连接,即公钥(非对称)加密和对称密钥加密。

分类
知识中心

SSL/TLS如何工作?

随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。

随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。
根据外行人的观点,

  • 首先,服务器或浏览器尝试与SSL安全网站(即Web服务器)连接。服务器或浏览器发出请求以识别Web服务器。
  • Web服务器将SSL/TLS证书的副本发送到Web浏览器或服务器。
  • Web服务器或浏览器会检查SSL证书是否可信。如果它值得信赖,它将向Web服务器发送一条消息。
  • 要启动SSL加密会话,Web服务器会发回经过数字签名的确认。
  • 最后,加密会话开始,加密数据在服务器/浏览器之间共享。

此外,SSL的工作可能看起来像一个无缝的过程。但是,在后台有几件事使SSL连接成功。例如,加密的不同类型的是什么,消息的身份验证是如何完成的,使用哪些密码和算法等等。

分类
公司新闻

量子安全加密:DigiCert与Gemalto,ISARA强强联手

量子计算是当今加密的一大威胁,DigiCert希望解决这一问题。量子安全加密是一个需要及早关注的概念。今年,量子计算领域取得了惊人的进展。虽然这本身是个令人振奋的消息,但同时,这也对我们当下使用的加密标准构成了一大威胁。

量子安全加密:DigiCert与Gemalto,ISARA强强联手-1


量子安全加密

幸运的是,DigiCert已经宣布与Gemalto和ISARA合作,共同开发量子安全数字证书与密钥管理解决方案,尤其针对IoT设备。

DigiCert新兴市场执行副总裁Deepika Chauhan指出:“为了帮助互联设备及相关网络抵御未来量子计算带来的新型安全威胁,DigiCert、Gemalto和ISARA公司达成合作伙伴关系。三方将致力于确保用于汽车、工业控制系统、医疗设备、核电站及关键基础设施的互联系统在未来5年、10年,甚至20年里能够有效应对网络安全威胁。”

那么,什么是量子安全加密?这种合作关系对数字证书行业意味着什么?

让我们一一分析。

什么是量子计算?

最好先从回顾量子计算的基本概念开始。我们已经深入讨论过这一问题,这里是简化版:传统计算机在二进制系统上运行,这意味着位(0和1)是已知量,也即,位是0或1.

量子安全加密。量子计算完全不考虑这个概念。量子比特,即量子位,可以叠加,这意味着它们可以同时是0和1。这似乎有些抽象,确实如此。坦率地说,我们无须细究这个问题的细枝末节。重要的是,量子计算能力要比现代计算机的计算能力高出指数倍。这对今天的加密技术构成了巨大的威胁。

RSA(Rivest-Shamir-Adleman)是当今最常用的密码体系之一,它基于素数分解。众所周知,私钥实际上只是一长串字母和数字。要“破解”RSA加密,须猜出密钥。由于一台标准台式计算机一次只能尝试一个组合,因此破解一个2048位RSA私钥要耗时6.4千万亿年。

由于量子位能够叠加,即可同时处于多个位置,因此量子计算机可以一次尝试多个组合。你大概能够猜到这意味着什么……能够同时尝试多个组合可以极大地减少破解密钥的时间。

一台量子位量子计算机可以同时尝试两个数值。两台量子位计算机可以同时处于四个位置,这意味着可以同时尝试四个值。今年3月,谷歌推出了72量子位量子计算机,击败了IBM的50量子位量子计算机。72量子位量子计算机可以同时尝试272(4,722,366,482,869,645,213,696)个值。

突然间,猜测私钥并不那么困难了。事实上,这个过程可以很快完成。因为RSA的伸缩性欠佳,即密钥的硬度不会随着密钥的长度同等增加。

ISARA首席执行官兼创始人斯科特·托兹克说:“根据专家预测,大规模量子计算将在未来8至10年到来,届时,所有的现有公共密钥加密都将变得不再可信。为此,我们合力注入量子级安全加密技术,以确保安全堆栈的基础要素—— 根证书,得到有效的保护。这意味着,我们将为物联网制造商和大型机构带来必要的解决方案和工具,在量子时代到来之前,为应对量子威胁做好准备,确保机密信息和高价值资产安全无虞。”

数字证书的未来是耐量子的

很显然,现今使用的密码体系将无法承受量子计算的能力,因此,像DigiCert这样的公司带头走在即将到来的量子革命的前沿是至关重要的。这些问题极为重要,不能等到真正发生后再找出答案。

DigiCert在应对这一挑战中首屈一指。作为企业安全领域的领导者之一,DigiCert早已经享有盛誉,因此,DigiCert非常精通于如何应对大公司和组织的挑战及痛点。

这种合作关系之初的实现形式是,Gemalto的SafeNet硬件安全模块(作为密钥管理和存储解决方案)将与DigiCert的API集成,可为连接的设备大规模签发量子安全数字证书。数字证书将利用ISARA提供的量子安全加密。

这三家公司还与IETF及其他标准组织合作,为其他公司开始使用量子安全加密奠定基础。

DigiCert的提姆·霍勒比克在eWEEK采访中称:“ISARA及其他地方的研究人员正在研发量子计算机无法破解的新密码算法,这些算法需要用于PKI/TLS证书中,并且其他地方都使用经典的非对称算法。”

什么是量子安全加密?

如果没有数学或者物理学的博士学位,很难回答这个问题。从概念上讲,量子安全加密指能够抵挡量子计算机攻击的密码系统。

今天,密码系统的安全性依赖于三种数学问题:

●整数分解

●离散对数

●椭圆曲线离散对数

这三种问题是指它们可能被运行舒尔算法的量子计算机所破解。舒尔算法是皮特·舒尔于1994年提出的一种量子算法,可用于解决大多数公钥密码机制的破解问题。

为了保证量子安全,密码系统需要能够承受量子计算机可能对其施加的处理能力。有关后量子密码学的大多数研究集中在以下六种可能的方法中:

●基于格的密码学

●多元密码学

●基于哈希的密码学

●基于代码的密码学

●超奇异椭圆曲线同构密码学

●对称密钥量子电阻

ISARA似乎中意的方法之一是被称为Leighton-Micali的机制,这是一种基于哈希的密码系统,目前正在考虑标准化。它将一次性签名机制与Merkle树函数相结合。

量子安全数字证书会是什么样子?

现在我们至少已经了解了什么是量子安全加密,让我们来看看这个概念如何应用于我们今天使用的数字证书。

Equifax过期数字证书。本质上,您所看到的是一个X.509证书,它支持两种算法,并且有两个数字签名。一个算法和签名将用于当前使用的经典密码系统(如RSA),而另一个算法和签名将是量子安全的(如我们刚刚讨论的Leighton-Micali机制)。

这样,该证书仍然可以像其他数字证书一样用于普通计算机,并且在未来更新的系统中将能够使用量子安全加密算法。

这使得证书不会过时,对很多组织极具吸引力。但还有很多工作需要完成,包括升级现有的验证和签发系统,以及从数字证书行业内外的利益相关者那里买进。

但这是重大的第一步。

霍勒比克说:“向量子安全技术过渡将最终需要每一个使用密码保护其系统的用户进行投资,我们正在向长寿命设备制造商提供这一能力,以便他们具有较长保质期的产品从现在起就能够使用量子安全算法,而不需要后期更新。”

天威诚信与Digicert

天威诚信是依据《中华人民共和国电子签名法》,由工业和信息化部许可设立的电子认证服务机构。2000年将DigiCert/Symantec认证业务引入中国,开启为中国用户提供DigiCert/Symantec认证方案的先河。

目前,天威诚信公司是中国唯一一家由DigiCert/Symantec直接授权且由中国工信部批准的CA认证机构,拥有最高的行业准入标准。天威诚信服务于全行业超过95%的大客户,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。

分类
知识中心

SSL证书是什么?ssl证书的重要性有哪些?

SSL(Secure Sockets Layer,安全套接层)是支持在网络服务器(主机)与网页浏览器(客户端)间建立加密连接的标准技术。运用SSL技术后,保证了主机与客户端连接过程中的数据安全。随着电子商务的发展,越来越多的运用SSL保护用户在线交易的安全性。如果您访问某网站时,在浏览器地址栏输入的地址以“https://”开头,则代表您正通过SSL建立安全连接。

SSL连接如何保护数据安全

SSL证书是什么?ssl证书的重要性有哪些?-1

使用SSL证书后,即在用户网络浏览器及网络服务器间创建了加密数据连接,这也就意味着,服务器与浏览器间的任何交易数据在解密前是不可读的。因此,正由于加密数据不易理解性,也防止了网络中的第三者窥探数据信息。

如何建立加密连接

SSL证书是什么?ssl证书的重要性有哪些?-2

在尝试建立安全连接前,需要进行以下三步操作:

1、在地址栏输入或选择安全URL,例如“https://www.baidu.com”;

2、服务器在收到您发送的安全连接请求后,提交尝试在浏览器与服务器间建立可信任连接的回复,这也就是所谓的“SSL握手”;

3、通过SSL握手验证SSL证书后,服务器与客户端间的数据将会以加密的形式传输,保证其隐私与安全。

如何直观辨别网站是否使用SSL
如果网站使用了SSL证书,虽然SSL协议具体内容并不会直接展示给用户,但大部分浏览器支持在地址栏显示一个锁的图案或其他形式证明其使用了SSL,这也表明了您目前正享受SSL加密会话的保护。如果您想了解SSL证书详细信息,只需点击地址栏头部“锁”的图标即可。

SSL对访问者意味着什么?
大 部分SSL证书包含域名、公司名称、国家及详细地址,当然也包含证书的有效期与证书颁发机构的详细信息。当浏览器尝试与网站建立SSL连接时,会首先核实 证书是否过期,是否由可信任的机构颁发以及网站是否正确。如果有任一项出现错误,浏览器将会提示警告,告知用户网站未使用SSL。

分类
知识中心

赛门铁克(VeriSign)SSL证书—企业网站安全第一通道

如今,对大多数年轻网民来说,网络购物已经成为一件稀松平常的事情。人们能够毫不犹豫地在购物网站上完成支付,是因为今天的技术已经能够为网络交易的真实性和安全性提供保障。比如,当我们在网上完成一笔交易时,都会提示安装安全证书,此时安全证书就相当于网站的身份证。浏览器在登录网站时会根据证书中提供的信息,逐级验证证书的真伪,以保证证书的真实性和网站的真实性。

其实所安装的安全证书,就是SSL证书及服务器证书。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer),以SSL安全协议来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,以及保障数据的完整性。

由于SSL技术建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

其次,SSL证书技术通过加密信息和提供鉴权,不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密,而不被黑客截取,即使截取到也是密文,也看不到真实的用户名与密码。而我们经常遇到的网络攻击,如数据劫持和钓鱼攻击等,都是在没有SSL证书的保护下造成的。这极有可能让用户信息泄露甚至造成严重的经济损失,而通过SSL证书认证就可有效避免,因为只有授权用户才能读取数据。

所以,随着网络的普及,网络安全环境对SSL证书的需求日益加大,目前世界500强企业中93%的公司和世界100家最大的银行中97%的银行以及全球50家大型电子商务网站中的47个网站都安装了赛门铁克(VeriSign)SSL证书。企业只有部署了SSL证书,才真正给了网民一个放心的交易平台。

目前在中国的网络安全市场也早已与世界同步,大部分互联网企业都部署了SSL证书,以期给广大个人网络用户最大极度的安全保障。天威诚信作为国内网络安全服务商经过几年的开拓已经领跑业界,合作伙伴遍及各个行业。近期更是签约了国航、强生等商业巨头。天威诚信提示广大用户重视网络安全、防止财产损失。

分类
知识中心

SSL证书的加密和SSL证书的使用情况

现在的网络技术飞速发展以及不断增加的公司将运用与事务放置到网上,网络隐私维护等疑问逐步得到了公司管理层及有关人士的注重,当公司在异地区域有分支机构或员工在外出差时如果更有效的衔接内网服务器和内网有关运用呢?不论是经过Windows服务器的远程桌面仍是专业VPN设备,咱们都会遇到传输的数据被外网人员sniffer盗取的疑问,这时根本的维护就需要依托天威诚信的SSL证书了。相信不少人都听说过SSL证书,也晓得他的特色,可是要想顺畅在公司中运用SSL证书则并不简略今天就给大家说说SSL证书的加密协议和SSL证书的使用情况,如果大家需要可以在天威诚信网站SSL证书申请。

一,通过SSL证书加密协议提供安全:

SSL协议位于TCP/IP协议与各种运用层协议之间,为数据通讯供给安全支撑。SSL协议可分为两层

SSL记载协议(SSL Record Protocol):它建立在牢靠的传输协议(如TCP)之上,为高层协议供给数据封装、紧缩、加密等根本功能的支撑。

SSL握手协议(SSL Handshake Protocol):它建立在SSL记载协议之上,用于在实践的数据传输开端前,通讯两边进行身份认证、洽谈加密算法、交流加密密钥等。

不论原理是啥样的,咱们要想顺畅运用这种加密安全协议就需要为通讯两边建立合法的SSL握手衔接,而这个衔接是经过导出与导入安全证书完成的,本文就将解说如何导出与导入安全证书。

二,用到SSL证书的情况:

SSL是安全加密协议,在内网运用并不多,通常都是在外网要拜访内网或许运用有关权限时用到SSL证书。从前经过SSL证书衔接过FTP,服务器的远程桌面和公司路由交流设备以及专业VPN接入设备。数据经过SSL加密后因为没有对应的证书入侵者无法经过sniffer类东西查看其内容。

SSL是一种安全传输协议,其全称是Securesocketlayer(安全套接层),该协议最初由Netscape企业发展而来,是加密通讯的全球化标准,已被广泛采用。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。对于网民来讲,在信用卡密码、银行账号、个人身份信息输入时均需要留意网站是否采用了SSL加密链接。因为SSL证书除了加密功能,还可以为网站提供身份验证服务。网民可以通过SSL证书查看网站的真实身份信息,避免登陆欺诈钓鱼网站。国内常见的SSL证书有Symantec赛门铁克(VeriSign)SSL证书,仅Symantec赛门铁克VeriSign)SSL证书全球就超过400万张。目前Symantec赛门铁克(VeriSign)SSL证书国内通过天威诚信签发各种数字证书产品,如招商银行、工商银行、建设银行、中国银行、光大银行、淘宝、红孩子、卓越亚马逊、凡客、国美电器等都是从天威诚信获取 SSL证书服务

分类
知识中心

SSL证书基本工作原理

安全套接字层 (SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份SSL证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。a 确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。

保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。

在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和最低128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。

最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10年。

分类
知识中心

企业网站安全提示:正确选择SSL服务商

互联网启蒙于美国军方的内部网络,由于其是一个专网,初期网络规模小,处理能力低,设计的TCP/IP协议的核心是信息传递,很少涉及信息安全,因此,应用层协议http、smtp、ftp均是明文数据,未采用加密措施。

随者互联网的普及,互联网应用层出不穷,同时,由于互联网的爆炸性增长,接入互联网的节点泥沙俱下,带来各种各样的互联网威胁,如何辨别一个网站的身份,如何安全的传递机密或隐私信息,成为至关重要的问题

对于绝大多数网民来讲,安全高效的互联网对于客户的信心保障远胜过铺天盖地的广告宣传。ssl安全套接字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书(certificate ssl)的申请与配置。 决定购买何种SSL网站安全证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。在一系列SSL服务商面前,企业又该如何抉择呢?

在选择SSL证书时有很多重要的因素供您权衡,第一个因素是您的业务范围。很多证书对域和子域、物理服务器的数量是有限制的,建议充分参考提供的参数选择最适合您网站的SSL证书

选择之前您要考虑是否需要保护多个域名。例如,如果你在一台服务器上部署多个不同域名的站点,建议购买SSL多域名证书。其次一个主域名下的多个子域,都需要证书来保护信息传输安全,你应该选择SSL通配符证书,保护的二级子域名数量没有限制。

对线上购物者来说,绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用扩展验证EVSSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

清楚证书使用的加密长度是非常重要的。40位强度的证书暴力破解耗费4小时,而对于128位证书破解需要一万亿年以上。128位强制型,在消费者登录安全页面时以技术手段强制消费者采用128位加密级别,以提升安全性,能很大程度上减少隐私信息外泄的可能,因此128位强制型SSL证书在市场上倍受青睐。

低端SSL服务器证书无法与多数浏览器兼容,因此访问时会弹出安全警告或直接禁止客户访问,极大的降低客户登录成功率。同时低端证书一遍无法提供128位的加密强度,因此在安全性上存在重大隐患。对于重要的金融机构、大型购物网站,配置不进行身份验证的低端SSL证书极容易被欺诈仿冒,其品牌价值和信任度将经受严重考验。高端SSl服务器证书可以与浏览器完全兼容,高安全的加密强度及身份验证机制可以确保网站的安全可靠,其最新的天威诚信EVssl证书更可以展示绿色地址栏提升网站安全可信度。

 

其次,无论从功能、服务、认证级别还是证书安全性及证书应用体验考虑,免费的SSL证书都存在巨大差距。如果您只是在测试系统中使用免费的SSL服务是没有问题的,但如果涉及到隐私数据传输及网上交易及支付,应尽量避免使用免费的SSL证书产品,从而使机密数据的网上传输能够得到更好的安全保障。

分类
知识中心

如何验证SSL证书公钥的正确性

公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。比如,正准备和某台服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输途中,真正的公开密钥已经被攻击者替换掉了。

为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。

数字证书认证机构处于客户端与服务器双方都可信赖的第三方机构的立场上。威瑞信VeriSign)就是其中一家非常有名的数字证书认证机构。我们来介绍一下数字证书认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。

服务器会将这份由数字证书认证机构颁发的公钥证书发送给客户端,以进行公开密钥加密方式通信。公钥证书也可叫做数字证书或直接称为证书。

接到证书的客户端可使用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,客户端便可明确两件事:一,认证服务器的公开密钥的是真实有效的数字证书认证机构。二,服务器的公开密钥是值得信赖的。

此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。

 

可证明组织真实性的EV SSL证书

证书的一个作用是用来证明作为通信一方的服务器是否规范,另外一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书(Extended Validation SSL Certificate)。

EV SSL证书是基于国际标准的认证指导方针颁发的证书。其严格规定了对运营组织是否真实的确认方针,因此,通过认证的Web网站能够获得更高的认可度。

持有EV SSL证书的Web网站的浏览器地址栏处的背景色是绿色的,从视觉上就能一眼辨别出。而且在地址栏的左侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。

 

为了防止用户被钓鱼攻击(Phishing),但就效果上来讲,还得打一个问号。很多用户可能不了解EV SSL证书相关的知识,因此也不太会留意它。

用以确认客户端的客户端证书

HTTPS中还可以使用客户端证书。以客户端证书进行客户端认证,证明服务器正在通信的对方始终是预料之内的客户端,其作用跟服务器证书如出一辙。

但客户端证书仍存在几处问题点。其中的一个问题点是证书的获取及发布。

想获取证书时,用户得自行安装客户端证书。但由于客户端证书是要付费购买的,且每张证书对应到每位用户也就意味着需支付和用户数对等的费用。另外,要让知识层次不同的用户们自行安装证书,这件事本身也充满了各种挑战。

现状是,安全性极高的认证机构可颁发客户端证书但仅用于特殊用途的业务。比如那些可支撑客户端证书支出费用的业务。

例如,银行的网上银行就采用了客户端证书。在登录网银时不仅要求用户确认输入ID和密码,还会要求用户的客户端证书,以确认用户是否从特定的终端访问网银。

客户端证书存在的另一个问题点是,客户端证书毕竟只能用来证明客户端实际存在,而不能用来证明用户本人的真实有效性。也就是说,只要获得了安装有客户端证书的计算机的使用权限,也就意味着同时拥有了客户端证书的使用权限。

认证机构信誉第一

SSL机制中介入认证机构之所以可行,是因为建立在其信用绝对可靠这一大前提下的。然而,2011年7月,荷兰的一家名叫DigiNotar的认证机构曾遭黑客不法入侵,颁布了google.com和twitter.com等网站的伪造证书事件。这一事件从根本上撼动了SSL的可信度。

因为伪造证书上有正规认证机构的数字签名,所以浏览器会判定该证书是正当的。当伪造的证书被用做服务器伪装之时,用户根本无法察觉到。

虽然存在可将证书无效化的证书吊销列表(Certificate Revocation List,CRL)机制,以及从客户端删除根证书颁发机构(Root Certificate Authority,RCA)的对策,但是距离生效还需要一段时间,而在这段时间内,到底会有多少用户的利益蒙受损失就不得而知了。

由自认证机构颁发的证书称为自签名证书

如果使用OpenSSL这套开源程序,每个人都可以构建一套属于自己的认证机构,从而自己给自己颁发服务器证书。但该服务器证书在互联网上不可作为证书使用,似乎没什么帮助。

独立构建的认证机构叫做自认证机构,由自认证机构颁发的”无用”证书也被戏称为自签名证书

浏览器访问该服务器时,会显示”无法确认连接安全性”或”该网站的安全证书存在问题”等警告消息。

 

由自认证机构颁发的服务器证书之所以不起作用,是因为它无法消除伪装的可能性。自认证机构能够产生的作用顶多也就是自己对外宣称”我是○○”的这种程度。即使采用自签名证书,通过SSL加密之后,可能偶尔还会看见通信处在安全状态的提示,可那也是有问题的。因为就算加密通信,也不能排除正在和已经过伪装的假服务器保持通信。

值得信赖的第三方机构介入认证,才能让已植入在浏览器内的认证机构颁布的公开密钥发挥作用,并借此证明服务器的真实性。

中级认证机构的证书可能会变成自认证证书

多数浏览器内预先已植入备受信赖的认证机构的证书,但也有一小部分浏览器会植入中级认证机构的证书。

对于中级认证机构颁发的服务器证书,某些浏览器会以正规的证书来对待,可有的浏览器会当作自签名证书。