随着网络攻击愈演愈烈,加之人们对网络监控的认识愈加清晰,对互联网安全的呼吁也越来越强烈。要加强网络安全,其中一个重要部分就是对进出网站的信息流进行加密。
虽然SSL/TLS(安全套接层/传输层安全)加密协议运作起来比较棘手,而且成本较高,但包括谷歌,Facebook和微软在内的众多企业都在极力推广这一加密技术。那么,关于SSL证书你需要了解哪些基础知识呢?
什么是SSL/TLS?
它最初一份由Netscape公司在90年代开发的网络协议,旨在确保网站的真实性,并使其与终端用户进行安全的数据交换。它使用公钥密码建立网站加密连接,被加密的网站通常由“https”开头,在浏览器URL窗口会出现一把挂锁,表示该网站已加密。
为什么SSL很重要?
仅用http(超文本传输协议)交流的数据很容易被黑客截获。这些数据可以被收集或篡改,从而让用户承受安全及隐私风险。如今,几乎所有著名的银行和电子商务网站使用SSL/TLS,但许多规模较小的网站仍然还没有使用这一协议。
SSL证书是否很难设置?
SSL/TLS被公认为运行复杂、难以实施,特别是对于大型网站而言。证书颁发机构(CA)往往出售用于验证网站的不同类型的数字证书。根据证书类型,证书颁发机构将验证请求的网站是否合法,以防范欺诈网站。但是,有些证书过于昂贵,有评论指出,SSL证书的成本和复杂性让人望而生畏。而且,证书也有有效期,所以IT管理员必须牢记更新日期。
SSL证书是否有缺点?
总而言之,缺点不少。多年来,网络安全专家已设计出了很多让SSL/TLS连接无法识别的攻击。此外,在OpenSSL,这一被广泛使用的SSL应用程序中,也发现了Heartbleed(心脏出血)这样的软件漏洞。证书颁发机构偶尔会被黑客入侵,为钓鱼网站颁发SSL证书。2011年,译解密码员Moxie Marlinspike概述了证书颁发机构体系的诸缺陷以及找到替代品的复杂性。“SSL与同一个时期的很多其他协议背道而驰,但却仍然存在这么长时间,这太不可思议了。”Marlinspike写道。目前市场上超过600家证书颁发机构发行或出售SSL/TLS证书,其中名气较大的公司包括威瑞信和科摩多。
如何解决SSL证书的问题?
一个名为Let’s Encrypt(一起来加密)项目在去年被推出,致力于发行免费的域名验证数字证书,向网站用户普及加密技术。SSL/TLS证书只有发现了新攻击,才会对漏洞进行修补,但就目前而言确实没有一个可替代整个系统的备选项。要改变这一现状,需要全行业的支持,而这在短期内不太可能实现。保护私有SSL/TLS密钥的安全可能是眼下最重要的任务,不过市场上各种硬件安全模块(HSM)足以安全管理这些数字证书。
原文作者:Jeremy Kirk(Shirley译)
IDC点评网原创文章,转载请注明原文链接:https://tutorials.hostucan.cn/5-things-you-need-to-know-about-ssl
聚焦云计算,扫描二维码,关注HostUCan云计算
