SSL安全证书技术十问

1、 什么是SSL?

SSL 是一个安全协议,最初是由美国网景 Netscape Communication 公司设计开发的,全称为安全套接层协议 (Secure Sockets Layer) 。它采用公开密钥技术为传输通信提供如下帮助:

1. 信息传输的保密性;

2. 数据交换的完整性;

3. 信息的不可否认性;

4. 交易者身份确定性。

换句话说,服务器部署SSL证书后,其核心能就是确保服务器与浏览器之间的数据传输是加密传输的,在数据传输过程中不被篡改或被解密。浏览器上,用户可通过“金色锁型”标记,得知是否已处于SSL安全保护,如果更先进的VeriSign EV SSL证书,那么除了“锁型”标记外,浏览器的地址栏还会变成绿色。

2、 什么是SSL证书信任根

数字证书是一种特殊商品,它所传达的是信赖、可信和安全。而CA数字认证中心是证书的颁发机构,负责检验和签发SSL证书。但全世界有众多CA机构,技术实力、经营状况各不相同,如何对这些签发证书的CA机构进行界定,证书信任根起到了关键作用。

目前浏览器中,只会根预埋一些拥有强大技术实力的数字认证中心的根证书,例如VeriSign。而对于其他未经验证的数字认证中心签发的SSL证书,当用户在访问网站时,浏览器就会自动弹出安全警示窗口。

3、 什么是SGC技术

SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU),主要是考虑到2000年以前美国政府对高强度加密算法(128位)出口限制的因素而推出的,由于出口管制的原因,2001年以前推出的浏览器版本(如:IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法,但由于电脑硬件技术和CPU处理速度的快速提高,使得破解40位加密算法只需几秒钟,而破解56位加密算法也只需几天时间。

为了加强美国以外的国家的电子商务和网上银行的安全,SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EKU),也就是说:即使受出口限制的40位或56位浏览器或服务器,只要使用支持SGC技术的SSL证书,就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。

4、 SSL证书是否会影响到速度和流量

因为要为每一个SSL连接实现加密和解密,所以会增加服务器CPU的处理负担,但一般不会影响太大。但考虑到对于客户隐私安全的保护,根据相关调查显示,在重要页面部署知名品牌的SSL证书,不但不会流失客户,反而有效促进客户成交。

为了更好的利用SSL证书技术,建议可注意以下几点,缓解服务器负担:

(1) 仅为需要加密的页面使用SSL,如登录或需要提交客户数据的页面,如(https://www.domaincom/login.asp),不要把所有页面都使用https://,特别是访问量最大的首页;首页和其他页面可以通过部署VeriSign动态签章标志,提示客户此网站安全可信。

(2) 尽量不要在使用了SSL证书的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。并通过文字或VeriSign动态签章标志提示消费者,页面处于SSL证书安全保护状态。

如果网站交易量或访问量异常庞大,天威诚信建议客户可购买SSL加速卡来专门负责SSL加解密工作,这样可完全不增加服务器任何负担。此外,增加服务器也是一个不错的选择。

5、 crt、cer、key、der、pem分别是什么格式证书文件

证书文件的扩展名只是一种使用习惯上的区别。在apache下,习惯用crt作为证书文件扩展名,在IIS等一些平台下,则习惯用cer作为证书文件的扩展名。Key则通常是私钥文件的扩展名。而pem则是包括crt、cer、key、der等文件,或者将多个文件粘贴到一块的统称。

6、 SSL证书做双向认证是否需要安装第三方的插件

常用的webserver 中间件都会有支持客户端认证的功能,配置SSL证书只需要修改配置文件便可以启用客户认证的功能,而不需要安装第三方的插件。

7、 托管服务器,是否可以安装SSL证书

99%以上的服务器和客户端浏览器都是支持SSL。虚拟主机一般也可以安装应用服务器证书,但具体能否安装服务器证书还要看服务提供商是否提供该服务。一般独享的主机服务提供商会给予完全管理权限,可以直接安装服务器证书。如果是多人共享的主机,通常也可以通过和服务提供商沟通,购买独立IP,或购买SSL许可的方式来安装SSL证书。

8、 如果服务器换了IP地址,原来的SSL证书是否还能使用?

一般SSL证书都是绑定域名的,服务器更换IP地址不会有任何影响。只要域名不变,原来的SSL证书当然照样可以用,重新解析到新的IP地址即可。但如果您申请的SSL证书是为IP地址申请的,则服务器换了IP地址,原来的SSL证书就不能用了。所以,要根据业务情况需要决定是为您的网站域名还是IP地址来申请证书。

9、 如果改变了硬件、软件(web server),SSL证书是否需要重新申请?

SSL服务器证书与硬件无关,如果系统和web server版本相同,也不会有任何影响。但如果改变了服务器软件,证书就要重新申请。因为SSL服务器证书不可以更换平台使用。

10、 IIS上如何在同一个站点上请求多张证书,或更新、更换证书

微软IIS 6.0中,每一个网站只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,原始请求(和私钥)将被覆盖。所以在正式提交CSR请求后,请不要在原有站点上对服务器做证书方面的配置。

如果要为同一个站点请求多张证书,或更新、更换证书,可以先创建一个临时站点,在临时站点上做证书的请求操作。在证书正确安装到临时站点上之后,则可以删除该临时站点,并在正式的站点上用“指派现有证书”或“替换当前站点证书”的方式来切换证书的应用。

你可能感兴趣的:(SSL安全证书技术十问)