SSL证书原理简述

SSL安全证书十问:

  1、 什么是SSL?
  SSL 是一个安全协议,最初是由美国网景 Netscape Communication 公司设计开发的,全称为安全套接层协议
(Secure Sockets Layer) 。它采用公开密钥技术为传输通信提供如下帮助:
  1. 信息传输的保密性;
  2. 数据交换的完整性;
  3. 信息的不可否认性;
  4. 交易者身份确定性。
  换句话说,服务器部署SSL证书后,其核心能就是确保服务器与浏览器之间的数据传输是加密传输的,在数据传输过程中不被篡改或被解密。浏览器上,用户可通过“金色锁型”标记,得知是否已处于SSL安全保护,如果更先进的VeriSign EV SSL证书,那么除了“锁型”标记外,浏览器的地址栏还会变成绿色。
  2、
什么是SSL证书信任根
  数字证书是一种特殊商品,它所传达的是信赖、可信和安全。而CA数字认证中心是证书的颁发机构,负责检验和签发SSL证书。但全世界有众多CA机构,技术实力、经营状况各不相同,如何对这些签发证书的CA机构进行界定,证书信任根起到了关键作用。
  目前浏览器中,只会根预埋一些拥有强大技术实力的数字认证中心的根证书,例如VeriSign。而对于其他未经验证的数字认证中心签发的SSL证书,当用户在访问网站时,浏览器就会自动弹出安全警示窗口。
  3、
什么是SGC技术
  SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU),主要是考虑到2000年以前美国政府对高强度加密算法(128位)出口限制的因素而推出的,由于出口管制的原因,2001年以前推出的浏览器版本(如:IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法,但由于电脑硬件技术和CPU处理速度的快速提高,使得破解40位加密算法只需几秒钟,而破解56位加密算法也只需几天时间。
  为了加强美国以外的国家的电子商务和网上银行的安全,SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EKU),也就是说:即使受出口限制的40位或56位浏览器或服务器,只要使用支持SGC技术的SSL证书,就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。
  4、
SSL证书是否会影响到速度和流量
  因为要为每一个SSL连接实现加密和解密,所以会增加服务器CPU的处理负担,但一般不会影响太大。但考虑到对于客户隐私安全的保护,根据相关调查显示,在重要页面部署知名品牌的SSL证书,不但不会流失客户,反而有效促进客户成交。
  为了更好的利用SSL证书技术,建议可注意以下几点,缓解服务器负担:
  (1) 仅为需要加密的页面使用SSL,如登录或需要提交客户数据的页面,如(https://www.domaincom/login.asp),不要把所有页面都使用https://,特别是访问量最大的首页;首页和其他页面可以通过部署VeriSign动态签章标志,提示客户此网站安全可信。
  (2) 尽量不要在使用了SSL证书的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。并通过文字或VeriSign动态签章标志提示消费者,页面处于SSL证书安全保护状态。
  如果网站交易量或访问量异常庞大,天威诚信建议客户可购买SSL加速卡来专门负责SSL加解密工作,这样可完全不增加服务器任何负担。此外,增加服务器也是一个不错的选择。
  5、 crt、cer、key、der、pem分别是什么格式证书文件
  证书文件的扩展名只是一种使用习惯上的区别。在apache下,习惯用crt作为证书文件扩展名,在IIS等一些平台下,则习惯用cer作为证书文件的扩展名。Key则通常是私钥文件的扩展名。而pem则是包括crt、cer、key、der等文件,或者将多个文件粘贴到一块的统称。
  6、 SSL证书做双向认证是否需要安装第三方的插件
  常用的webserver 中间件都会有支持客户端认证的功能,配置SSL证书只需要修改配置文件便可以启用客户认证的功能,而不需要安装第三方的插件。
  7、
托管服务器,是否可以安装SSL证书
  99%以上的服务器和客户端浏览器都是支持SSL。虚拟主机一般也可以安装应用服务器证书,但具体能否安装服务器证书还要看服务提供商是否提供该服务。一般独享的主机服务提供商会给予完全管理权限,可以直接安装服务器证书。如果是多人共享的主机,通常也可以通过和服务提供商沟通,购买独立IP,或购买SSL许可的方式来安装SSL证书。
  8、
如果服务器换了IP地址,原来的SSL证书是否还能使用?
  一般SSL证书都是绑定域名的,服务器更换IP地址不会有任何影响。只要域名不变,原来的SSL证书当然照样可以用,重新解析到新的IP地址即可。但如果您申请的SSL证书是为IP地址申请的,则服务器换了IP地址,原来的SSL证书就不能用了。所以,要根据业务情况需要决定是为您的网站域名还是IP地址来申请证书。
  9、
如果改变了硬件、软件(web server),SSL证书是否需要重新申请?
  SSL服务器证书与硬件无关,如果系统和web server版本相同,也不会有任何影响。但如果改变了服务器软件,证书就要重新申请。因为SSL服务器证书不可以更换平台使用。
  10、 IIS上如何在同一个站点上请求多张证书,或更新、更换证书
  微软IIS 6.0中,每一个网站只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,原始请求(和私钥)将被覆盖。所以在正式提交CSR请求后,请不要在原有站点上对服务器做证书方面的配置。
  如果要为同一个站点请求多张证书,或更新、更换证书,可以先创建一个临时站点,在临时站点上做证书的请求操作。在证书正确安装到临时站点上之后,则可以删除该临时站点,并在正式的站点上用“指派现有证书”或“替换当前站点证书”的方式来切换证书的应用。

什么是证书吊销列表(CRL)?

答:证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个证书颁发机构在设置其证书颁发系统时设置。

证书吊销列表分发点 (CRL Distribution Point ,简称 CDP) 是含在数字证书中的一个可以共各种应用软件自动下载的最新的 CRL 的位置信息。一个 CDP 通常出现在数字证书的 详细信息 选项卡的 CRL 分发点 域,一般会列出多个使用不同的访问方法,以确保如 Web 浏览器和 Web 服务器程序始终可以获取最新的 CRL 。 CDP 一般是一个可以访问 http 网址。

讲到吊销列表,就不得不讲讲 OCSP , Online Certificate Status Protocol, 证书状态在线查询协议, 是 IETF 颁布的用于实时查询数字证书在某一时间是否有效的标准。

上面已经提到,一般 CA 都只是 每隔一定时间 ( 几天或几个月 ) 才发布新的吊销列表,可以看出: CRL 是 不能及时反映证书的实际状态的。而 OCSP 就能满足实时在线查询证书状态的要求。它为电子商务网站提供了一种实时检验数字证书有效性的途径,比下载和处理 CRL 的传统方式更快、更方便和更具独立性。请求者发送查询请求, OCSP 服务器会返回证书可能的三个状态:正常、吊销和未知。

OCSP 服务由独立的 OCSP 服务器来提供服务,目前WoSign新证书颁发系统支持 OCSP 方式查询证书状态。 OCSP 也是一个可以访问的 http 网站,如下图 4 所示:

那么,证书吊销列表起什么作用?为了演示,我们在测试站点上部署了一张吊销了的SSL证书,https://revoked-demo.wosign.com 。上面已经提到是供有关软件查询证书是否被吊销,还是让我们来看看浏览器是如何查询吊销列表的。 浏览器在使用 https:// 访问已经部署了 SSL 证书的网站时,一定会先检查此 SSL 证书是否已经被吊销,也就是说会查询吊销列表或 OCSP 服务, 如果此证书已经被证书颁发机构吊销,则会显示警告信息: “此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。 ”

值得注意的是: 目前有些 CA 颁发的证书和大部分自签SSL证书都没有提供吊销列表 (CRL) 服务或证书 吊销列表分发点是不可访问的 ,当然更别提 OSCP 服务,这是非常危险的,因为如果证书丢失或被盗而无法吊销的话,就极有可能被用于非法用途而让用户蒙受损失。

时间: 2024-10-28 16:41:28

SSL证书原理简述的相关文章

openSSL命令、PKI、CA、SSL证书原理

转自:http://blog.csdn.net/gui694278452/article/details/46373319 目录 1. PKI.CA简介 2. SSL证书 3. SSL证书生成.openSSL学习 4. CA中心搭建.SSL证书生成过程 1. PKI.CA简介 PKI(Public Key Infrastructure)即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是

SSL证书原理讲解

一直以来都对数字证书的签发,以及信任等事情一知半解.总算有个闲适的周末来总结和深入一下相关的知识. CA: CA(Certificate Authority)是证书的签发机构,它是负责管理和签发证书的第三方机构,是受到广泛信任的机构.一般在我们的电脑中,浏览器里,或者手机里都会内置一批这样的受信机构的根证书. 证书信任链: 比如我是CA机构我签发了一封证书 我这份证书是信任B证书的另外B证书又信任了其他的C证书......那么这条链条下去的都可以信任.所以一旦CA机构的根证书不可信了,那么所有由

『转载』 SSL协议与数字证书原理

SSL协议与数字证书原理 1 SSL(Secure Socket Lclientyer)是netscclientpe公司设计的主要用于weserver的安全传输协议.这种协议在WESERVER上获得了广泛的应用. SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果. SSL协议分为两部分:Hclientndshclientke Protocol和Record Protocol,. 其中Hclientndshclientke Protocol用来协商密钥,协议的大

网络知识杂谈 - https - 原理简述

概述 简单描述 https 尽量介绍它的原理 实际的机制, 可能会更加复杂一些... 背景 这玩意, 困扰我好多年了 今天开始, 想做个了断 之前工作也接触过, 但从我的角度来说, 认识很浅 会配置 给个证书, 放好位置, 调一下选项 会抓包 开个 charles, 配置几下, 手机挂代理, 安装证书 具体干啥 只知道是个 加密的体系 因为抓包知道, 这不是明文 机制的理解和思考 看过 图解http, 没理解就放过去了... 最后, 将这个东西的时候, 如果你忍无可忍想说一句, 禁止套娃...

HTTPS那些事(二)SSL证书

转自:http://www.guokr.com/post/116169/ 从第一部分HTTPS原理中, 我们可以了解到HTTPS核心的一个部分是数据传输之前的握手,握手过程中确定了数据加密的密码.在握手过程中,网站会向浏览器发送SSL证书,SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的

SSL证书

一.什么是SSL证书? 首先说明SSL(安全套接层,Secure Sockets Layer)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障.SSL证书遵循SSL协议,可安装在服务器上,实现数据传输加密. CA(数字证书认证,Certificate Authority)机构,是承担公钥合法性检验的第三方权威机构,负责指定政策.步骤来验证用户的身份,并对SSL证书进行签名,确保证书持有者的身份和公钥的所有权.CA机构为每个使用公开密钥的用户发放一个SSL证书,SSL证书的作用是证明证

TCP/IP协议工作原理简述

TCP/IP协议工作原理简述 Table of Contents 1 概要 2 应用层 3 传输层 4 网络层 5 链路层 1 概要 协议是什么?协议是一组为完成特定需求或功能而定义的标准通讯格式.协议是服务于具体需求或功能的,它不能独立存在. 制定TCP/IP协议的目的是为了解决主机互联以及互联的主机上的应用通讯的问题.TCP/IP协议共有四层:应用层.传输层.网络层.链路层.应用层实际就是我们的应用程序,对于非具体应用而言这一层的协议是未定义的,需要我们自己根据我们具体的业务模型来制定.传输

SSL/TLS原理详解

本文大部分整理自网络,相关文章请见文后参考. 关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 ,如果你想快速自建CA然后签发数字证书,请移步 基于OpenSSL自建CA和颁发SSL证书. SSL/TLS作为一种互联网安全加密技术,原理较为复杂,枯燥而无味,我也是试图理解之后重新整理,尽量做到层次清晰.正文开始. 1. SSL/TLS概览 1.1 整体结构 SSL是一个介于HTTP协议与TCP之间的一个可选层,其位置大致如下: SSL:(Secure S

HTTPS那些事(二)SSL证书(转载)

原创地址:http://www.guokr.com/post/116169/   从第一部分HTTP工作原理中,我们可以了解到HTTPS核心的一个部分是数据传输之前的握手,握手过程中确定了数据加密的密码.在握手过程中,网站会向浏览器发送SSL证书,SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当