如果你的企業(yè)有意采購(gòu)SSL，那么本文可以給一個(gè)很好的方向。在本文中，我們將先簡(jiǎn)要介紹SSL定義及其工作原理，并探討目前各種可用的SSL證書類型以及企業(yè)如何選擇最佳的SSL。

[[166124]]

SSL定義

SSL及傳輸層安全協(xié)議(TLS)是在服務(wù)器和互聯(lián)網(wǎng)客戶端之間創(chuàng)建加密鏈接的安全協(xié)議，通常是在Web服務(wù)器和Web瀏覽器之間。它們還用在電子郵件服務(wù)器及其客戶端之間。加密鏈接可保護(hù)服務(wù)器和客戶端之間傳輸?shù)臄?shù)據(jù)(例如登錄憑證和信用卡號(hào)碼)，防止竊聽、中間人攻擊以及類似威脅。

雖然創(chuàng)建加密鏈接的工具仍然被稱為SSL加密工具，但由于漏洞問題，SSL及早期版本的TLS已不再被認(rèn)為是安全的協(xié)議。現(xiàn)在最佳SSL做法會(huì)采用TLS 1.2(或更高版本)，這是目前用于創(chuàng)建安全加密鏈接的標(biāo)準(zhǔn)技術(shù)。

SSL工作原理

為了創(chuàng)建安全連接，服務(wù)器和瀏覽器需要證書頒發(fā)機(jī)構(gòu)(CA)向企業(yè)頒發(fā)SSL證書。CA是可信的第三方，其證書會(huì)驗(yàn)證企業(yè)的身份是否已經(jīng)認(rèn)證。(盡管任何人都可以創(chuàng)建證書，但Web瀏覽器面對(duì)證書時(shí)會(huì)檢查其受信任的CA列表;為避免安全相關(guān)的錯(cuò)誤消息，證書必須來(lái)自受信任的CA。)SSL證書包含企業(yè)機(jī)構(gòu)的名稱、域名、物理地址以及證書的過(guò)期日期，還有有關(guān)CA本身的信息。

為了開啟這一過(guò)程，管理員必須激活Web服務(wù)器的SSL/TLS，創(chuàng)建一個(gè)證書簽名請(qǐng)求(CSR)文件，并填寫該證書所需要的企業(yè)信息。這個(gè)時(shí)候，服務(wù)器會(huì)創(chuàng)建兩個(gè)加密密鑰：私鑰和公鑰。公鑰包含在CSR文件中，其中會(huì)將企業(yè)的信息關(guān)聯(lián)到該密鑰，然后管理員會(huì)發(fā)送完整文件給CA，CA驗(yàn)證文件中的信息并發(fā)布SSL證書。接著，接收Web服務(wù)器會(huì)將證書與私鑰進(jìn)行比較。(CA沒有對(duì)私鑰的訪問權(quán)限;只有請(qǐng)求SSL證書的企業(yè)持有私鑰。)

請(qǐng)注意，為了獲得最高水平的安全性，企業(yè)應(yīng)該至少使用2048位私鑰：小位數(shù)的密鑰已經(jīng)被破解?，F(xiàn)在很多企業(yè)都選擇4096位密鑰，但需要注意的是，現(xiàn)在有些智能卡和讀卡器還不支持超過(guò)2048位的密鑰。

使用SSL證書可在服務(wù)器和瀏覽器之間建立信任關(guān)系，而建立信任的過(guò)程涉及交換身份信息、SSL證書和密鑰，這被稱為SSL握手。當(dāng)Web瀏覽器請(qǐng)求連接到Web服務(wù)器上的安全網(wǎng)頁(yè)時(shí)(通過(guò)在瀏覽器的地址欄輸入地址)，服務(wù)器會(huì)發(fā)送SSL證書的副本和公鑰到瀏覽器。然后，瀏覽器會(huì)針對(duì)其信任CA列表來(lái)檢查該證書，以驗(yàn)證該證書是來(lái)自可信方，驗(yàn)證證書的有效性(有沒有過(guò)期)以及證書正在被對(duì)應(yīng)的網(wǎng)站在使用。如果瀏覽器信任證書，它會(huì)發(fā)送消息回Web服務(wù)器，服務(wù)器會(huì)返回確認(rèn)來(lái)啟動(dòng)SSL加密會(huì)話，這意味著用戶可通過(guò)這個(gè)連接安全地發(fā)送機(jī)密信息。

Web瀏覽器會(huì)在瀏覽器中顯示掛鎖服務(wù)，并在地址欄使用https，讓用戶知道，該網(wǎng)站連接已加密且很安全。綠色地址欄表明擴(kuò)展驗(yàn)證SSL證書，我們將在下一章節(jié)里進(jìn)行介紹。有些網(wǎng)站還會(huì)顯示來(lái)自CA的安全封條(標(biāo)識(shí))。

常見SSL證書類型

在購(gòu)買SSL時(shí)，企業(yè)有很多問題需要考慮。為了選出最佳SSL，他們首先必須選擇可靠的證書提供商。國(guó)外一些商業(yè)供應(yīng)商包括Comodo、賽門鐵克、Thawte、DigiCert、Entrust、GoDaddy、GlobalSign、Verizon、Trustwave以及GeoTrust，也有很多其他供應(yīng)商。選擇可靠的CA可確保企業(yè)的公鑰和SSL證書會(huì)有效保護(hù)客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)，同時(shí)，當(dāng)用戶訪問網(wǎng)站并看到已知實(shí)體的SSL封條時(shí)，可能會(huì)想到品牌聲譽(yù)和安全性。

三種常見證書類型是單名SSL證書、通配證書以及多域名證書。單名證書適用于單個(gè)域名或服務(wù)器，它很適合只需要保護(hù)一個(gè)域名或網(wǎng)站的企業(yè);通配證書適用于域名及其一級(jí)子域;多域名證書讓企業(yè)可使用單個(gè)證書保護(hù)多個(gè)域名和網(wǎng)站。選擇正確證書類型完全取決于企業(yè)的網(wǎng)絡(luò)環(huán)境。

驗(yàn)證又是另一回事。在驗(yàn)證過(guò)程中，CA在發(fā)布SSL證書前會(huì)驗(yàn)證申請(qǐng)人的信息。典型的驗(yàn)證是域名驗(yàn)證(DV)、機(jī)構(gòu)驗(yàn)證(OV)和擴(kuò)展驗(yàn)證(EV)。DV證書只會(huì)檢查域名注冊(cè)表，因此不能保證網(wǎng)站為合法。出于這個(gè)原因，DV證書不適用于商業(yè)用途。OV證書可證明企業(yè)已被驗(yàn)證且是合法的，而EV證書則提供最高水平的網(wǎng)站驗(yàn)證和身份保證。對(duì)于EV SSL證書，CA會(huì)執(zhí)行最徹底的信息檢查，包括法律和業(yè)務(wù)歷史、身份驗(yàn)證、域名控制等。這種類型的SSL證書通常比DV和OV更昂貴，主要由領(lǐng)先的企業(yè)使用。

如何選購(gòu)最佳SSL?

為了選擇最佳SSL，應(yīng)該選擇至少提供128位保護(hù)的供應(yīng)商?，F(xiàn)在，40位強(qiáng)度已被認(rèn)為很弱，而112位密碼(例如3DES)則會(huì)很慢，并已不再?gòu)V泛使用。理想情況下，最好使用256位保護(hù)，每增強(qiáng)一倍意味著可更好地抵御大多數(shù)攻擊類型。

還應(yīng)該考慮供應(yīng)商的客戶支持及保證。與幾年前相比，現(xiàn)在部署SSL更容易，但它仍然必須安裝以及得到妥善管理才會(huì)有效。請(qǐng)確定你選擇的供應(yīng)商是否提供全年無(wú)休的支持，以及優(yōu)先升級(jí)，是否需要付費(fèi)擴(kuò)展支持等。此外，還應(yīng)該確保當(dāng)客戶因?yàn)榘l(fā)行不當(dāng)?shù)腟SL證書而遭遇欺詐活動(dòng)時(shí)，供應(yīng)商會(huì)進(jìn)行相應(yīng)的賠償。

總結(jié)

所有收集或傳輸敏感信息的網(wǎng)站都必須部署最佳SSL來(lái)提供保護(hù)，如果不這樣做，很可能會(huì)遭致法律訴訟以及懲罰。同樣地，聲譽(yù)受損也可能會(huì)影響到未來(lái)業(yè)務(wù)。