京汨:SSL證書常見問題概覽
- 2019 年 10 月 5 日
- 筆記
什麼是SSL證書?
SSL證書就是遵守SSL安全套接層協議的服務器數字證書,而SSL安全協議最初是由美國網景Netscape Communication公司設計開發,全稱為安全套接層協議(Secure Sockets Layer)。
SSL證書指定了在應用程序協議(如HTTP、Telnet、FTP)和TCP/IP之間提供數據安全性分層的機制。它是在傳輸通信協議(TCP/IP)上實現的一種安全協議,採用公開密鑰技術,它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。由於此協議很好地解決了互聯網明文傳輸的不安全問題,很快得到了業界的支持,並已經成為國際標準。
SSL證書由瀏覽器中受信任的根證書頒發機構在驗證服務器身份後頒發,具有網站身份 驗證和加密傳輸雙重功能。
SSL證書有什麼優勢?
對比傳統的加密方式 ,SSL證書所擁有的優勢 。
1.簡單快捷:只需要申請一張證書,部署在服務器上,就可以在有效期內不用做其他操作。
2.顯示直觀:部署SSL證書後,通過HTTPS訪問網站,能在地址欄或地址欄右側直接看到加密鎖標誌,直觀地表明網站是加密的。使用EV證書,還能直接在地址欄看到公司名稱。
3.身份認證:這是別的加密方式都不具備的,能在證書信息裏面看到網站所有者公司信息,進而確認網站的有效性和真實性,不會被釣魚網站欺騙。
4.快速簽發:一鍵申請快捷高效。支持在一個平台下購買簽發多個不同品牌的SSL數字證書。
5.輕鬆一鍵部署:支持一鍵將數字證書部署在雲服務器,以最小成本在雲上應用。
HTTPS與HTTP有什麼不同?
HTTP是過去很長一段時間我們經常用到的一種傳輸協議。HTTP協議傳輸的數據都是未加密的,這就意味着用戶填寫的密碼、賬號、交易記錄等機密信息都是明文,隨時可能被泄露、竊取、篡改,從而被黑客加以利用,因此使用HTTP協議傳輸隱私信息非常不安全。
HTTPS是一種基於SSL協議的網站加密傳輸協議,網站安裝SSL證書後,使用HTTPS加密協議訪問,可激活客戶端瀏覽器到網站服務器之間的SSL加密通道(SSL協議),實現高強度雙向加密傳輸,防止傳輸數據被泄露或篡改。簡單講,HTTPS=HTTP+SSL,即HTTPS是HTTP的安全版。
主流數字證書都有哪些格式?
一般來說,主流的Web服務軟件,通常都基於OpenSSL和Java兩種基礎密碼庫。
Tomcat、Weblogic、JBoss等Web服務軟件,一般使用Java提供的密碼庫。通過Java Development Kit (JDK)工具包中的Keytool工具,生成Java Keystore(JKS)格式的證書文件。
Apache、Nginx等Web服務軟件,一般使用OpenSSL工具提供的密碼庫,生成PEM、KEY、CRT等格式的證書文件。
IBM的Web服務產品,如Websphere、IBM Http Server(IHS)等,一般使用IBM產品自帶的iKeyman工具,生成KDB格式的證書文件。
微軟Windows Server中的Internet Information Services(IIS)服務,使用Windows自帶的證書庫生成PFX格式的證書文件。
哪些網站必須啟用HTTPS加密?
在越來越重視信息安全的今天,HTTPS協議站點無疑已經成為主流。就目前形勢而言,以下網站必須啟用HTTPS協議加密:
- 電商平台及其相關支付系統網站
- 銀行系統、金融機構等高私密性網站
- 政府、高校、科研機構及其相關網站
- 以搜索引擎為主要流量來源的網站
- 以郵箱為主的企業交流平台
長遠來看,HTTPS協議網站已是必然趨勢。啟用HTTPS協議加密是當今網站建設的關鍵要點。不僅局限於上述網站類型,啟用HTTPS協議加密既是網站安全的必然需要,也是公司發展的提前布局。
服務器上裝SSL證書會不會影響用戶瀏覽網頁的速度?
服務器上裝SSL證書會增加服務器CPU的處理負擔,因為要為每一個SSL連接實現加密和解密,但一般不會影響太大。同時建議您注意以下幾點以減輕服務器的負擔:
僅為需要加密的頁面使用SSL,如https://xxx.com,不要把所有頁面 都使用https://, 特別是訪問量最大的首頁。盡量不要在使用了SSL的頁面上設計大塊的圖片文件和其他大文件,盡量使用簡潔的 文字頁面。