> 杂谈 > 补充知识:HTTPS、SSL/TLS协议及CA证书等简单汇总介绍【整理】

补充知识:HTTPS、SSL/TLS协议及CA证书等简单汇总介绍【整理】

HTTPS、SSL/TLS协议及CA证书等对于新人来说不知道是什么东东,对于不涉及的来说更不知道。对于他们的分别介绍很多,现在把这个整理到一起来,也算是为自己再额外的补充一些基础知识吧!其实现在的小孩真的很累,不过我非常赞同的一个观点就是静下心来学会学习,只有这样才能学到更多的、更广泛、更有深度的知道。

1、HTTPS

HTTPS协议作为一种网络数据通讯加密方式已经被各大网站广泛支持,对于个人网站来说,虽然不需要过分担心数据传输的安全性,但是,网站部署SSL证书已是一种趋势。HTTPS 可以认为是 HTTP + TLS。目前大部分 WEB 应用和网站都是使用 HTTP 协议传输的。而HTTP 本身是明文传输的,没有经过任何安全处理。

在 HTTP 协议下,中间者可以随意嗅探用户搜索内容,窃取隐私甚至篡改网页。不过 HTTPS 是这些劫持行为的克星,能够完全有效地防御。

总体来说,HTTPS 协议提供了三个强大的功能来对抗上述的劫持行为:
1)内容加密。浏览器到百度服务器的内容都是以加密形式传输,中间者无法直接查看原始内容。
2)身份认证。保证用户访问的是百度服务,即使被 DNS 劫持到了第三方站点,也会提醒用户没有访问百度服务,有可能被劫持
3)数据完整性。防止内容被第三方冒充或者篡改。

2、SSL协议介绍

SSL 即安全套接层(Secure Sockets Layer,SSL),是一种安全协议,是网景公司在推出 Web 浏览器首版的同时提出,目的是为网络通信提供安全及数据完整性。SSL 在传输层对网络连接进行加密。

SSL 采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。它在服务器和客户机两端可同时被支持,目前已成为互联网上保密通讯的工业标准。现行 Web 浏览器亦普遍将 HTTP 和 SSL 相结合,从而实现安全通信。此协议的继任者是 TLS。

SSL目前有三个版本:2、3、3.1,最常用的是第3版,是1995年发布的。

3、TLS协议介绍

IETF(www.ietf.org)于1999年将 SSL 作了标准化,即 RFC2246 ,并将其称为 TLS(Transport Layer Security)。

常用的 TLS 协议版本有如下几个:TLS1.2, TLS1.1, TLS1.0 和 SSL3.0。其中 SSL3.0 由于 POODLE 攻击已经被证明不安全,但统计发现依然有不到 1% 的浏览器使用 SSL3.0。TLS1.0 也存在部分安全漏洞,比如 RC4 和 BEAST 攻击。

TLS1.2 和 TLS1.1 暂时没有已知的安全漏洞,比较安全,同时有大量扩展提升速度和性能,推荐大家使用。

CA数字证书

1、CA证书介绍

CA是“Certificate Authority”的缩写,也叫“证书授权中心”,它是负责管理和签发证书的第三方机构。利用CA签发的数字证书,我们可以对网站进行身份验证,以防止该网站是假冒钓鱼网站,避免个人数据被窃取。

CA数字证书有两个作用:
1)身份授权
确保浏览器访问的网站是经过 CA 验证的可信任的网站。

2)分发公钥
每个数字证书都包含了注册者生成的公钥。在SSL握手时会通过certificate消息传输给客户端。比如前文提到的RSA及ECDHE算法的签名都是使用的这个公钥。

2、CA证书等级

CA证书等级分 Class 1 (一级,只验证Email)、Class 2(二级,验证Email和验证个人身份证明文件)、Class 3(三级,验证Email、验证单位身份验证文件、第三方数据库核实)、Class 4(四级,全球统一标准的扩展验证标准,验证Email、验证单位身份证明文件、验证申请人身份证明文件、第三方数据库核实)。

1)DV
DV是 Domain Validation 的缩写,意思就是对网站域名所有权进行验证。CA 认证机构会向域名持有者的邮箱发送相应的邮件,以确认证书和域名的所有权关系。其特点是简单快捷,价格便宜,缺点是无法保证网站经营者的身份,因此一般仅用来提供数据加密的功能,属于 Class 1 验证的证书。

2)OV
OV是 Organization Validation 的缩写,这种证书在颁发的时候会对网站所有单位的身份和域名的所有权进行证实行验证,所以一般电子商务类的网站往往会做 OV 的认证。价格当然也会比较昂贵,证书颁发周期也会比较久,属于 Class 2 或者 Class 3 验证的证书。

3)EV
EV是 Extended Validation 的缩写,也是最严格的身份验证,此证书审核证书申请人对域名的所有权,以及详细的企业/组织相关信息审核,当用户在访问通过 EV 认证的网站时候,浏览器的显示为绿色,当然价格也是相当的昂贵,属于 Class 4 验证的证书。