基本介紹
概述,SSL基礎知識,技術層面,
概述
網際網路始於美國軍方的內部網路APAR網(阿帕網),由於其是一個專網,初期網路規模小,處理能力低,設計的TCP/IP協定的核心是信息傳遞,很少涉及信息安全,因此,套用層協定http、smtp、ftp均是明文數據,未採用加密措施。
隨著網際網路的普及,網際網路套用層出不窮,同時,由於網際網路的爆炸性增長,接入網際網路的節點泥沙俱下,帶來各種各樣的網際網路威脅,如何辨別一個網站的身份,如何安全的傳遞機密或隱私信息,成為至關重要的問題。
SSL安全套接字層(secure sockts layer),提供了一個傳輸層安全的套用協定,解決網際網路服務網站的身份識別,機密、隱私信息的加密傳輸問題。SSL部署的過程中至關重要的環節是SSL網站安全證書(certificate ssl)的申請與配置。 決定購買何種SSL網站安全證書,不僅是一個技術問題,更涉及到公司的戰略、服務意識、管理等一系列問題。
SSL基礎知識
SSL安全協定最初是由美國網景Netscape Communication 公司設計開發的,全稱為:安全套接層協定(Secure Sockets Layer) , 它指定了在應用程式協定( 如HTTP 、Telnet 、FTP) 和TCP/IP 之間提供數據安全性分層的機制,它是在傳輸通信協定(TCP/IP) 上實現的一種安全協定,採用公開密鑰技術,它為TCP/IP連線提供數據加密、伺服器認證、訊息完整性以及可選的客戶機認證。最簡單地講:伺服器部署SSL證書後,能確保伺服器與瀏覽器之間的數據傳輸是加密傳輸的,是不能在數據傳輸過程中被篡改和被解密的。所以,所有要求用戶線上填寫機密信息的網站都應該使用SSL證書來確保用戶輸入的信息不會被非法竊取,這不僅是對用戶負責的做法,特別是要求填寫有關信用卡、儲蓄卡、身份證、以及各種密碼等重要信息時,而且也是保護網站自己的以後機密信息的有效手段。而用戶也應該有這種意識,線上填寫用戶自己認為需要保密的信息時看看瀏覽器右下面是否出現一個鎖樣標誌,如果沒有鎖樣標誌,則表明用戶您正在輸入的信息有可能在提交到伺服器的網路傳輸過程中被非法竊取而泄露,建議您拒絕在不顯示安全鎖的網站上提交任何您認為需要保密的信息,這樣才能確保您的機密信息不會被泄露。
技術層面
1、加密位數越高越好嗎?
目前市場上的SSL網站安全證書中,對於加密位數有個加密位數越高越好的誤區,SSL協定涉及到的加密的環節,有兩個加密位數,一是證書公鑰位數,分為512位、 1024位、2048位,主流的是1024位。一是會話秘鑰(對稱密鑰)位數,分為40位,128位,256位,主流的是128位。公鑰算法主要是用來加密會話秘鑰,會話秘鑰是SSL會話建立之後對會話內容進行加密,會話秘鑰的長度和瀏覽器支持的密鑰長度相關,微軟的IE系列瀏覽器,有40位和128位兩種,例如firefox,可以支持 256位會話秘鑰。主流的密鑰長度在目前的技術水準下,破解的難度相當高,暴力破解需要耗費相當長的時間。而由於SSL會話秘鑰是一次性的,且有效期較短,基本不存在被暴力破解的可能性。 加密過程需要消耗伺服器資源,在密鑰長度增加的同時,會帶來更大的性能負載,在主流密鑰長度可以提供足夠安全的保障前提之下,更長的密鑰長度只能帶來無效的負載增加。
2、證書鏈的層級越少越好嗎?
目前市場上的SSL網站安全證書中,對於證書鏈的長短也有不少爭議。其實,證書鏈的長短有多方面的原因,涉及到不同的安全級別、證書頒發策略,不能一概而論。證書鏈越長當然驗證的時間也越長,不過在不超過四級的長度下,性能接近相同。