網(wǎng)站建設(shè)
時間 : 2020-02-02 10:10 瀏覽量 : 189SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密。Netscape(網(wǎng)景通信公司)在1994年創(chuàng)建了SSL協(xié)議的原始規(guī)范,但是第一個SSL協(xié)議版本因?yàn)槭褂萌跫用芩惴ㄊ艿矫艽a學(xué)界的質(zhì)疑,所以從來沒有公開發(fā)布過。Netscape在1995年2月修訂了規(guī)范,并發(fā)布了一個大大改進(jìn)的版本SSL 2.0協(xié)議,雖然SSL 2.0版本被認(rèn)為是一個相當(dāng)強(qiáng)大和健壯的協(xié)議,但仍存在一些易受攻擊的漏洞。在1996年,由Netscape和Paul Kocher共同設(shè)計(jì)的版本SSL 3.0協(xié)議發(fā)布。
SSL 3.0協(xié)議獲得互聯(lián)網(wǎng)廣泛認(rèn)可和支持,因特網(wǎng)工程任務(wù)組(IETF)接手負(fù)責(zé)該協(xié)議,并將其重命名為傳輸層安全(TLS)協(xié)議。TLS協(xié)議的第一個版本(RFC 2246)于1999年1月發(fā)布,實(shí)質(zhì)上就是SSL 3.0協(xié)議的適度改進(jìn)版。雖然TLS協(xié)議和SSL協(xié)議是同一個協(xié)議的迭代升級,但是其重命名后在名稱上造成的混淆一直延續(xù)到今天,業(yè)內(nèi)通常將二者統(tǒng)稱為SSL/TLS協(xié)議。2006年4月,IETF發(fā)布TLS 1.1版本(RFC4346),包含一些小的安全改進(jìn)。2008年8月,TLS 1.2版本(RFC5246)發(fā)布,移除了老舊加密套件,增強(qiáng)了協(xié)議的安全性,TLS 1.2協(xié)議是目前主流的TLS協(xié)議版本。
2018年3月,TLS 1.3協(xié)議正式批準(zhǔn)問世,成為下一代TLS協(xié)議版本。TLS 1.3版本歷經(jīng)長達(dá)4年28次草案修改,是迄今為止改動最大的一次,既能提高互聯(lián)網(wǎng)用戶的訪問速度,又能增強(qiáng)安全性,大大提升HTTPS連接的速度性能,是非常值得期待的一代TLS版本。SSL優(yōu)勢特點(diǎn):瀏覽器地址欄顯示醒目、獨(dú)特的視覺效果——綠色地址欄、顯示單位名稱、https、綠色安全鎖。保密性:利用握手協(xié)議所定義的共享密鑰對SSL凈荷(Payload)加密。完整性:利用握手協(xié)議所定義的共享的MAC密鑰來生成報文的鑒別碼(MAC)。無論是免費(fèi)還是收費(fèi)的SSL證書,最長有效期一般是2年,也就是超過兩年之后,SSL證書必須重新申請。
目前沒有超過1年有效期的免費(fèi)SSL證書。在中國曾經(jīng)出現(xiàn)過一些免費(fèi)的SSL證書,但要求購買其他產(chǎn)品之后SSL證書才是免費(fèi)的,這屬于一種假免費(fèi),還有的因?yàn)闉g覽器的制裁,變成了不可信的SSL證書,這種免費(fèi)的SSL證書是沒有任何意義的。國外有一款免費(fèi)的ssl,不過申請起來比較麻煩一款免費(fèi)的SSL證書:Let's Encrypt。SSL證書安裝指南怎么操作?例如阿里云SSL證書服務(wù)可提供Nginx服務(wù)器、Apache服務(wù)器、Tomcat服務(wù)器、IIS服務(wù)器和其他服務(wù)器類型證書下載并安裝到對應(yīng)的服務(wù)器中。不同格式的證書下載解壓后可能包含以下文件:.key 文件是證書私鑰文件,如果申請證書時沒有選擇系統(tǒng)創(chuàng)建CSR,則沒有該文件。
請您保存好該私鑰文件。.crt 文件是證書文件,一般包含兩段內(nèi)容。如果是Apache服務(wù)器,會將證書文件拆分成 _public.crt(證書)文件和_chain.crt(證書鏈或中間證書)文件。.pem 文件是證書文件,一般包含兩段內(nèi)容。Nginx證書會使用擴(kuò)展名文件,在阿里云SSL證書中與.crt文件一樣。.crt擴(kuò)展名的證書文件采用Base64-encoded的PEM格式文本文件,可根據(jù)需要,修改成.pem等擴(kuò)展名。.pfx 文件,一般適合Tomcat/IIS服務(wù)器。每次下載都會產(chǎn)生新密碼,該密碼僅匹配本次下載的證書。如果需要更新證書文件,同時也要更新密碼。SSL證書都是綁定域名的,不受服務(wù)器更換IP地址的影響。
只要證書綁定的域名不變,就可以重新解析到新的IP地址,原來的SSL證書仍然可以生效,不需要更換新的證書。瀏覽器是如何檢查SSL證書是否工作正常的?配置完成SSL數(shù)字證書后,如果您能使用“https://+您的數(shù)字證書綁定的域名”方式訪問您的網(wǎng)站,則表示網(wǎng)站已經(jīng)部署了SSL證書。SSL數(shù)字證書必須由瀏覽器中“受信任的根證書頒發(fā)機(jī)構(gòu)”在驗(yàn)證服務(wù)器身份后頒發(fā),具有網(wǎng)站身份驗(yàn)證和加密傳輸雙重功能。在瀏覽器地址欄中,輸入:https://+您的數(shù)字證書綁定的域名(例如https://www.aliyun.com )。通過HTTPS方式訪問您的網(wǎng)站,網(wǎng)站頁面能正常訪問,且瀏覽器地址欄中顯示安全鎖標(biāo)志,說明您的SSL數(shù)字證書已部署成功。