什么是SSL安全证书?
它是Netscape公司提出的基于WEB应用的安全套接层协议,它指定了一种在应用程序协议和TCPflP协议间提供数据安全性分层的机制,但常用于安全WEB应用的HTTP协议。
功能
通俗点说SSL证书可以实现2个基本功能: [1]
数据传输加密
我们通常的互联网访问、浏览都是基于标准的TCP/IP协议,内容以数据包的形式在网络上传递。由于数据包内容没有进行加密,任何截获数据包的人都可以取得其中的内容。那么数据包中如果传递的是用户名、密码或其他个人隐私资料就很容易被别人窃取。
SSL可以在用户使用的客户端(如:浏览器)和服务器之间建立一个加密的通道,所有在网络上传输的数据都会先进行加密,当传输到目的地以后再进行解密,这样传输过程中即使数据包被截获,也很难破解其中的内容。
服务器身份证明
目前,仿冒网站已经成为互联网使用中的严重威胁,仿冒者可以制作一个与真实网站完全一样的界面,并且采用相似的域名引导用户访问。如:真实的某某银行网址为www.XXX.xxx。 而仿冒者使用了一个相似的域名:www.0XXX.xxx,字母i换成了数字1,如果使用者不加注意,很容易上当。一旦在仿冒网站的使用过程中输入了帐号密码等信息,就会被仿冒网站记录,进而被冒用,威胁用户的帐户安全。
SSL服务器证书可以有效地证明网站的真实身份、使用的域名的合法性,让使用者可以很容易识别真实网站和仿冒网站。现在的SSL服务器证书在申请的时候都会通过严格的审查手段对申请者的身份进行确认,用户在访问网站的时候可以看到证书的内容,其中包含网站的真实域名、网站的所有者、证书颁发组织等信息。浏览器也会给出相应的安全标识,让访问者可以放心使用。
原理机制:
SSL采用RsA、DES,3DES等、密码体制以及MD系列HASH函数、Diffie-Hellman密钥交换算法。
具体实现:
客户机向服务器发送SSL版本号和选定的加密算法;服务器回应相同信息外还回送一个含RSA公钥的数字证书;客户机检查收到的证书足否在可信任CA列表中,若在就用对应CA的公钥对证书解密获取服务器公钥,若不在,则断开连接终止会话。
对称密钥交换:
客户机随机产生一个DES会话密钥,并用服务器公钥加密后再传给服务器,服务器用私钥解密出会话密钥后发回一个确认报文,以后双方就用会话密钥对传送的报交加密。
优点
SSL设置简单成本低,无须在自己的电脑L安装专门软件,只要浏览器支持即可
通信前就已完成加密算法,此后所有数据都会被加密,从而保证通信的安全性。
缺点
除了传输过程外不能提供任何安全保证
不能提供交易的不可否认性
客户认证是可选的,所以无法保证购买者就是该信用卡合法拥有者
SSL不是专为信用卡交易而设计,在多方参与的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。
SSL证书是一种数字证书,用于验证网站的身份并启用加密连接。SSL代表安全套接字层,这是一种在Web 服务器和Web浏览器之间创建加密连接的安全协议。
公司和组织需要将SSL证书添加到他们的网站,以保护在线交易并保护客户信息的私密性和安全性。
简而言之:SSL可确保互联网连接安全并防止犯罪分子阅读或修改在两个系统之间传输的信息。当您在地址栏中的URL旁边看到挂锁图标时,这意味着SSL保护您正在访问的网站。
自大约25年前成立以来,已经出现了多个版本的SSL协议,所有这些版本都在某个时候遇到了安全问题。随后是经过改进和重命名的版本TLS(传输层安全),至今仍在使用。但是,SSL的首字母被卡住了,因此新版本的协议通常仍然使用旧名称。
SSL证书如何工作?
SSL的工作原理是确保用户和网站之间或两个系统之间传输的任何数据仍然无法读取。它使用加密算法对传输中的数据进行加扰,从而防止黑客在通过连接发送数据时读取数据。此数据包括潜在的敏感信息,例如姓名、地址、信用卡号或其他财务详细信息。
这个过程是这样工作的:
浏览器或服务器尝试连接到使用SSL保护的网站(即 Web 服务器)。
浏览器或服务器请求Web服务器标识自己。
作为响应,Web服务器向浏览器或服务器发送其 SSL证书的副本。
浏览器或服务器会检查它是否信任SSL证书。如果是,它会向网络服务器发出信号。
然后,Web服务器返回数字签名确认以启动SSL加密会话。
加密数据在浏览器或服务器与网络服务器之间共享。
此过程有时称为“SSL 握手”。虽然这听起来像是一个漫长的过程,但它发生在几毫秒内。
当网站受 SSL 证书保护时,首字母缩略词 HTTPS(代表安全超文本传输协议)会出现在 URL 中。如果没有 SSL 证书,只会出现字母 HTTP——即没有 S 代表安全——将出现。URL 地址栏中还会显示一个挂锁图标。这表明信任并为访问该网站的人提供保证。
要查看SSL证书的详细信息,您可以单击浏览器栏中的挂锁符号。SSL证书中通常包含的详细信息包括:
颁发证书的域名,发给哪个人、组织或设备。哪个证书颁发机构颁发了它
证书颁发机构的数字签名,关联的子域,证书签发日期,证书的有效期,公钥(私钥不泄露)
为什么需要SSL证书
网站需要SSL证书来保证用户数据的安全、验证网站的所有权、防止攻击者创建网站的虚假版本并向用户传达信任。
如果网站要求用户登录、输入个人详细信息(如信用卡号)或查看机密信息(如健康福利或财务信息),则必须对数据保密。SSL 证书有助于保持在线交互的私密性,并确保用户可以与网站共享隐私信息的真实性和安全性。
与企业更相关的是,HTTPS 网址需要 SSL 证书。HTTPS 是 HTTP 的安全形式,这意味着 HTTPS 网站的流量由 SSL 加密。大多数浏览器将 HTTP 站点(那些没有 SSL 证书的站点)标记为“不安全”。这向用户发出了一个明确的信号,即该站点可能不值得信赖——激励尚未这样做的企业迁移到 HTTPS。
SSL证书有助于保护信息,例如:
登录信息、信用卡交易或银行账户信息、个人身份信息——例如全名、地址、出生日期或电话号码、法律文件和合同、病历、专有信息
SSL证书的类型
有不同类型的 SSL 证书具有不同的验证级别。六种主要类型是:
扩展验证证书 (EV SSL)
组织验证证书 (OV SSL)
域验证证书 (DV SSL)
通配符 SSL 证书
多域 SSL 证书 (MDC)
统一通信证书 (UCC)
扩展验证证书 (EV SSL)
这是级别最高且最昂贵的 SSL 证书类型。它往往用于收集数据并涉及在线支付的知名网站。安装后,此 SSL 证书会在浏览器地址栏上显示挂锁、HTTPS、企业名称和国家/地区。在地址栏中显示网站所有者的信息有助于将网站与恶意网站区分开来。要设置 EV SSL 证书,网站所有者必须通过标准化的身份验证流程,以确认他们已获得合法授权对该域的专有权。
组织验证证书 (OV SSL)
此版本的 SSL 证书具有与 EV SSL 证书类似的保证级别,因为获得了一个;网站所有者需要完成大量的验证过程。此类证书还会在地址栏中显示网站所有者的信息,以区别于恶意站点。OV SSL 证书往往是第二昂贵的(仅次于 EV SSL),它们的主要目的是在交易过程中加密用户的敏感信息。商业或面向公众的网站必须安装 OV SSL 证书,以确保共享的任何客户信息保持机密。
域验证证书 (DV SSL)
获取此 SSL 证书类型的验证过程最少,因此,域验证 SSL 证书提供较低的保证和最少的加密。它们往往用于博客或信息网站——即,不涉及数据收集或在线支付。这种 SSL 证书类型是最便宜和最快获得的证书类型之一。验证过程只需要网站所有者通过回复电子邮件或电话来证明域所有权。浏览器地址栏只显示 HTTPS 和挂锁,不显示企业名称。
通配符SSL证书
通配符SSL证书允许您在单个证书上保护基本域和无限子域。如果你有多个子域,以确保,那么通配符SSL证书购买的是多比购买单个SSL证书为他们每个人的成本更低。通配符 SSL 证书将星号 * 作为通用名称的一部分,其中星号代表具有相同基本域的任何有效子域。
SSL证书可以在多台服务器上使用吗?
可以对同一服务器上的多个域使用一个 SSL 证书。根据供应商的不同,您还可以在多台服务器上使用一个 SSL 证书。这是因为我们在上面讨论过的多域 SSL 证书。
顾名思义,多域 SSL 证书适用于多个域。该数字由特定的颁发证书颁发机构决定。多域 SSL 证书不同于单域 SSL 证书,单域 SSL 证书 - 再次,顾名思义 - 旨在保护单个域。
更令人困惑的是,您可能会听到多域 SSL 证书,也称为 SAN 证书。SAN 代表主题备用名称。每个多域证书都有附加字段(即 SAN),您可以使用这些字段列出要在一个证书下涵盖的其他域。
统一通信证书 (UCC) 和通配符 SSL 证书还允许使用多域,在后一种情况下,支持无限数量的子域。
SSL证书过期时会发生什么?
SSL证书确实会过期;它们不会永远持续下去。作为 SSL 行业事实上的监管机构的证书颁发机构/浏览器论坛指出,SSL 证书的有效期不应超过 27 个月。这基本上意味着两年,如果您续订之前的 SSL 证书剩余时间,则最多可以结转三个月。
SSL证书会过期,因为与任何形式的身份验证一样,信息需要定期重新验证以检查它是否仍然准确。随着公司和网站的买卖,互联网上的事情发生了变化。随着他们易手,与 SSL 证书相关的信息也会发生变化。有效期的目的是确保用于验证服务器和组织的信息尽可能最新和准确。
以前,SSL证书的签发期限最长可达 5 年,随后减少到三年,最近减为两年,外加可能额外增加三个月。2020 年,Google、Apple 和 Mozilla 宣布他们将实施为期一年的 SSL 证书,尽管该提案被证书颁发机构浏览器论坛投票否决。这从 2020 年 9 月开始生效。未来可能会进一步缩短有效期。
当 SSL证书过期时,它会使相关站点无法访问。当用户的浏览器访问网站时,它会在几毫秒内检查 SSL 证书的有效性(作为 SSL 握手的一部分)。如果 SSL 证书已过期,访问者将收到一条大意为“此站点不安全。潜在风险”的消息。
虽然用户确实可以选择继续,但鉴于所涉及的网络安全风险,包括恶意软件的可能性,不建议这样做。这将显着影响网站所有者的跳出率,因为用户会迅速点击主页并转到其他地方。
掌握 SSL 证书何时到期对大型企业来说是一个挑战。虽然中小型企业 (SME)可能有一个或只有几个证书来管理,但企业级组织潜在的跨市场交易——拥有众多网站和网络——将会有更多。在这个级别,允许 SSL 证书过期通常是疏忽而不是无能的结果。大型企业在 SSL 证书过期时保持领先的最佳方式是使用证书管理平台。市场上有各种各样的产品,您可以使用在线搜索找到它们。这些允许企业查看和管理整个基础架构中的数字证书。如果您确实使用这些平台之一,那么定期登录很重要,这样您就可以知道续订何时到期。
如果您允许证书过期,该证书将失效,您将无法再在您的网站上运行安全交易。证书颁发机构 (CA) 将提示您在到期日期之前续订 SSL 证书。
无论您使用哪个证书颁发机构或 SSL 服务获取 SSL 证书,都将按设定的时间间隔(通常从 90 天后开始)向您发送到期通知。尽量确保将这些提醒发送到电子邮件分发列表——而不是发送提醒时可能已经离开公司或调任其他角色的单个人。考虑贵公司的哪些利益相关者在此分发列表中,以确保合适的人在合适的时间看到提醒。
如何判断网站是否有SSL证书
查看站点是否具有SSL证书的最简单方法是查看浏览器中的地址栏:
如果 URL 以 HTTPS 而不是HTTP开头,则意味着该站点使用SSL证书进行保护。
安全站点会显示一个封闭的挂锁标志,您可以单击该标志以查看安全详细信息——最值得信赖的站点将具有绿色挂锁或地址栏。
当连接不安全时,浏览器也会显示警告标志 - 例如红色挂锁、未关闭的挂锁、穿过网站地址的线条或挂锁标志顶部的警告三角形。
如何确保您的在线会话安全
仅向具有EV或OV证书的网站提交您的个人数据和在线支付详细信息。DV 证书不适用于电子商务网站。您可以通过查看地址栏来判断站点是否具有EV或OV证书。对于EV SSL,组织名称将显示在地址栏中。对于OV SSL,您可以通过单击挂锁图标查看组织名称的详细信息。对于DV SSL,只有挂锁图标可见。
阅读网站的隐私政策。这使您能够了解您的数据将如何使用。合法公司将公开他们如何收集您的数据以及如何处理这些数据。
留意网站上的信任信号或指标。
除了SSL证书外,这些还包括信誉良好的徽标或徽章,表明网站符合特定的安全标准。其他可以帮助您确定网站是否真实的标志包括检查实际地址和电话号码、检查他们的退货或退款政策,以及确保价格可信且好得令人难以置信。
对网络钓鱼诈骗保持警惕。
有时,网络攻击者会创建模仿现有网站的网站,以诱骗人们购买商品或登录他们的网络钓鱼网站。网络钓鱼站点有可能获得SSL证书,从而对您和它之间流动的所有流量进行加密。越来越多的网络钓鱼诈骗发生在HTTPS网站上——欺骗那些对挂锁图标的存在感到放心的用户。
为避免此类攻击:
1、始终检查您所在站点的域名并确保其拼写正确。假冒网站的URL可能仅相差一个字符。如果有疑问,请直接在浏览器中输入域名,以确保您正在连接到您打算访问的网站。
2、除非您确定其真实性,否则切勿在网站上输入登录名、密码、银行凭证或任何其他个人信息。
2、始终考虑特定站点提供的内容,它是否看起来可疑,以及您是否真的需要在其上注册。
4、确保您的设备受到良好保护: 卡巴斯基安全软件会 根据广泛的网络钓鱼站点数据库检查 URL,无论资源看起来多么“安全”,它都会检测诈骗。
网络安全风险不断发展,但了解需要注意的SSL证书类型以及如何区分安全站点和潜在危险站点将有助于互联网用户避免诈骗并保护他们的个人数据免受网络犯罪分子的侵害。