赞
踩
SSL证书全称为安全套接层协议 (Secure Sockets Layer) 证书,是遵守SSL安全套接层协议的服务器数字证书。它通过加密算法,将HTTP明文传输变成HTTPS暗文传输。由于此协议很好地解决了互联网明文传输的不安全问题,很快得到了业界的支持,并已经成为国际标准。
SSL证书通常是一个以.cer
为后缀的配置文件。例如:
1、实现加密传输
网站安装SSL证书后,使用HTTPS加密协议访问网站,可激活客户端浏览器到网站服务器之间的SSL加密通道,实现高强度双向加密传输。
2、认证服务器真实身份
在网站使用HTTPS协议后,通过SSL证书,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份。
3、保障信息不被窃取
使用了SSL证书后,数据实现了加密传输,保护数据不被泄露或者恶意篡改。
4、提高公司品牌形象和可信度
部署了SSL证书的网站会在浏览器地址栏中显示HTTPS绿色安全小锁。可告诉用户其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌形象和可信度。
苹果开发者ATS标准。 2017年1月1日起,苹果公司宣布所有在AppStore上架的应用程序都必须启用App Transport Security (ATS) 安全通讯技术。SSL证书后的APP应用程序可以通过Apple审核并上架。
微信小程序必须使用SSL证书。帮助微信小程序上架被用户添加。
1、防止被钓鱼
没有使用HTTPS协议的网站,攻击者可以伪造一个与真实网站类似的域名来钓鱼(如下图所示):
在网站使用HTTPS协议后,由于SSL证书可以认证服务器真实身份,从而防止钓鱼网站伪造:
2、提高网站搜索排名
通过百度公告的颁布,明确指出搜索引擎在排名上,会优先对待采用HTTPS协议的网站。
3、提高网站访问速度
通过HTTP vs HTTPS对比测试,表明使用了SSL证书的新一代HTTP2协议,其访问网站的速度远远快于使用HTTP协议的网站。
3、提高公司品牌形象和可信度
部署了SSL证书的网站会在浏览器地址栏中显示HTTPS绿色安全小锁。可告诉用户其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌形象和可信度。
Secure Socket Layer(SSL)是一种在两台机器之间提供安全通道的协议,具有保护传输数据及识别通信机器的功能。SSL提供的安全通道是透明的,意思是它不变更两台机器之间传输的数据,保证数据经过加密后,一端写入的数据与另一端读取到的内容是完全一致的。
在SSL握手阶段,客户端和服务器间的交互过程图如下所示:
上述过程图一共可分为六个阶段,每个阶段的具体工作是:
1.客户端发起请求
客户端以明文传输发起请求。请求信息包含版本信息、加密套件候选列表、压缩算法候选列表、随机数、扩展字段等。具体细节如下:
2.服务端响应请求
3.客户端校验证书
客户端验证证书的合法性,如果验证通过,则进行下一步通信。否则,根据错误情况做出响应的提示或操作。合法性验证的内容如下:
4.客户端密钥交换
5.服务端改变密码规范
6.握手结束
客户端计算所有接收信息的哈希值,并采用协商好的密钥解密,验证服务器发送的数据和密钥,验证通过则握手完成。开始使用协商密钥与算法进行加密通信。
简单概述,SSL握手过程也是SSL证书作用的实现。如:
公钥(Public Key)与私钥(Private Key)就是俗称的不对称加密方式。它们是通过一种算法得到的一个密钥对,公钥是密钥对中公开的部分,常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。私钥则是非公开的部分,需自行保管。
通过这种算法得到的密钥对,能保证在世界范围内是唯一的。使用这个密钥对时,如果用其中一个密钥加密一段数据,则必须用另一个密钥才能解密。比如:用公钥加密的数据就必须用对应的私钥才能解密,否则将无法成功解密。反之亦然。
虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
如果需要将网站从http切换到https到底该如何实现呢?
这里需要将页面中所有的链接,例如js,css,图片等等链接都由http改为https。例如:http://www.baidu.com改为https://www.baidu.com
BTW,这里虽然将http切换为了https,还是建议保留http。所以我们在切换的时候可以做http和https的兼容,具体实现方式是,去掉页面链接中的http头部,这样可以自动匹配http头和https头。例如:将http://www.baidu.com改为//www.baidu.com。然后当用户从http的入口进入访问页面时,页面就是http,如果用户是从https的入口进入访问页面,页面即使https的。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。