深入研究保护我们的互联网连接的加密
虽然Netscape最初是在90年代中期发明SSL的,但直到2018年夏天Google开始标记未加密的网站时,每个网站都没有强制安装SSL / TLS证书的义务,不安全.”
尽管Google(带有搜索引擎,Chrome浏览器和Android OS)可以单方面重新定义Internet,但在执行此任务时并不孤单。苹果,微软,Mozilla和技术行业的其他主要利益相关者都做出了共同决定,以强制执行SSL / TLS证书和HTTPS.
原因很简单:如果没有SSL / TLS,并且无法通过HTTPS安全连接,则网站及其访问者之间的所有通信都将以纯文本格式进行交换,并且易于第三方读取.
最近推动通用加密的唯一弊端是,它迫使大量新客户涌入一个陌生的市场,这几乎没有使自己对普通网站或企业主产生混淆.
本文将作为SSL / TLS的全面指南,我们将通过介绍诸如加密,HTTPS和互联网连接性质等基本概念来奠定基础.
希望最后,您将对选择,购买和实施TLS证书充满信心,并记住是否有任何疑问可以将其留在下面的评论中.
Contents
基础要素
让我们首先讨论所有概念的核心:加密.
在最直接的迭代中,加密只不过是使用预定的密码或密钥对数据进行加扰,因此,除了具有相同私钥的另一方以外,任何人都无法读取它。.
纵观历史,私钥加密一直是最常用的模型。在私钥加密中,双方必须拥有或至少交换可以用于加密和解密信息的私钥.
早期,支持这些密码系统的大多数密码都是原始密码,它们依靠简单的替换或用字符替换普通单词。但是随着时间的流逝,密码越来越受到数学的影响,并且变得越来越复杂.
例如,在法国的1600年代中期,路易十四国王的密码学家创建了一种密码,密码设计得非常好,直到250年后才被破解,然后才被部分破解。到目前为止,法国档案馆中已有数百年的记录,可能永远无法破译.
但是,尽管从历史上看,加密一直是秘密或秘密的手段,但互联网的出现使这一概念更加主流。互联网无处不在,它处理一系列关键功能。每天都有数十亿人使用它来访问和发送敏感信息,管理其财务状况,与企业进行交易-您将其命名为.
问题在于,互联网并非完全旨在适应其已经发展的规模。早期,当学术界和美国政府首次开发网络协议时,互联网仅被视为政府与学术机构之间自由交换信息的机制。那时,商业活动在网上是非法的。电子商务甚至还没有被创造出来。网站更像是一个地理概念.
因此,当1991年首次引入HTTP或超文本传输协议时,它所形成的连接以明文交换数据的事实并不是一个取消资格的问题。.
今天的情况大不相同。在线交流的信息不是学术研究或免费提供的信息,而是可识别个人身份的信息和敏感数据,可能会导致人们甚至在某些地区丧生。这要求一种更安全的方法.
答案是加密.
交换钥匙的问题
一直困扰着最好的密码系统的问题一直持续到今天.
我们前面讨论的以及传统上一直是加密标准的是私钥加密。这也称为对称加密或双向加密-私钥同时处理通信所需的加密和解密功能.
为了使私钥加密起作用,私钥必须在各方之间转移,或者双方都需要拥有自己的副本。无论哪种方式,私钥安全性对于密码系统的完整性都是至关重要的,而且,正如您毫无疑问地推测,密钥交换是一个与加密本身一样古老的问题。.
然后,在1970年代-从技术上讲两个不同的时期,整个海洋相隔-一种新的加密形式被概念化并付诸实践:公钥加密.
私有密钥加密是一种双向功能,对称,私有密钥既可以加密也可以解密数据,而公共密钥加密则是非对称的。单程。没有一个私钥,而是一个公私钥对。公用密钥处理加密,顾名思义,公用密钥可公开使用,而处理解密的专用密钥由其所有者保密。使用公共密钥,人们可以加密一段数据并将其发送给密钥所有者,只有他们才能解密该数据.
很好,但这有什么用?
嗯,单向加密并不是加密互联网连接的理想选择,当一方只能加密而另一方只能解密时,这种通信方式比较困难。不,要加密互联网连接,您需要使用对称的私钥加密.
但是如何交换密钥?特别是在线?
公钥加密.
归根到底,这就是SSL / TLS的全部意义:安全密钥交换.
在这里,我们将所有这些概念结合在一起。如果您希望与网站的通信是私有的,则需要安全地连接到该网站。如果要安全地与该网站连接,则需要交换对称私钥,以便可以使用它们进行通信。 SSL / TLS(通常是PKI)只是一种用于创建和交换会话密钥的机制.
使用SSL / TLS,您可以验证将要连接的服务器或组织,并确保安全地交换用于加密与目标方的通信的私钥.
不幸的是,SSL / TLS和PKI有很多术语和活动部分,很容易使人们感到困惑,但是这些事实掩盖了一个事实,那就是当您剥夺所有的数学和技术术语时,这只是一个时代的优雅现代技术解决方案老问题:密钥交换.
现在让我们来看一些关键术语
在继续之前,我们先介绍几个其他关键术语。我们已经引入了HTTP,超文本传输协议,数十年来一直是Internet的骨干。但是正如我们所讨论的那样,Internet的发展与1991年HTTP首次发布时的发展截然不同.
需要一个更安全的协议。因此,HTTPS.
HTTPS,有时也称为TLS上的HTTP,使用加密技术使连接期间交换的数据对目标方来说是不可读的。当您考虑现代互联网连接的本质时,这一点尤其重要.
在互联网的早期,连接是相当直接的,而现在,连接是通过数十个设备路由到其最终目的地的。如果您想进行实际演示,请在操作系统上打开命令提示符,然后输入命令“ tracert geekflare.com”。
您将看到的是连接到目的地的路径。最多30次跳跃。这意味着您的数据在到达您要连接的任何网站或应用程序之前都要先通过这些设备中的每一个。而且,如果有人在其中任何一个设备上安装了数据包嗅探器或某些侦听器,则在某些情况下,他们可以窃取传输的任何数据甚至操纵连接.
这称为中间人(MITM)攻击.
如果您想了解MITM攻击,那么 查看此在线课程.
现代互联网连接所覆盖的表面积比绝大多数人意识到的要大得多,这就是为什么在传输过程中对数据进行加密至关重要的原因。您不知道谁在听,或者做起来多么简单.
通过端口80建立HTTP连接。出于我们的目的,您可以将端口视为指示网络服务或协议的结构。通过HTTP提供服务的标准网站使用端口80。HTTPS通常使用端口443。网站安装证书后,可以将其HTTP页面重定向到HTTPS,并且用户的浏览器将尝试通过端口443安全连接,等待身份验证.
不幸的是,SSL / TLS,HTTPS,PKI和加密这两个术语经常被弄得一团糟,有时甚至可以互换使用,因此,为了消除任何挥之不去的混乱,这里有一个快速指南:
- SSL协议 –安全套接字层,用于HTTPS的原始加密协议
- TLS –传输层安全性,已取代SSL的最新加密协议
- HTTPS – HTTP的安全版本,用于创建与网站的连接
- 公钥基础设施 –公钥基础结构,指促进公钥加密的整个信任模型
SSL / TLS协同工作以启用HTTPS连接。当您缩小时,PKI指的是整个事情.
得到它了?不用担心,您会.
建立公钥基础结构
现在,我们已经奠定了基础,我们可以放大并查看SSL / TLS核心中信任模型所采用的体系结构.
当您到达网站时,浏览器要做的第一件事就是验证该网站所提供的SSL / TLS证书的真实性。我们将在几节中介绍身份验证之后发生的情况,但我们将从讨论使所有这些成为可能的信任模型开始。.
因此,我们首先提出一个问题:我的计算机如何知道是否信任给定的SSL / TLS证书?
为了回答这个问题,我们需要讨论PKI及其起作用的各种要素。我们将从证书颁发机构和根计划开始.
证书颁发机构
证书颁发机构是符合一系列预定标准的组织,以换取签发可信数字证书的能力.
有数十个免费的和商用的CA,可以颁发受信任的证书.
他们都必须遵守CA / Browser论坛所辩论和立法的一系列标准,CA / Browser论坛是TLS行业的监管机构。这些标准概述了以下内容:
- 必须采取的技术保障措施
- 执行验证的最佳做法
- 发行最佳做法
- 撤销程序和时间表
- 证书记录要求
这些准则是由浏览器与CA一起制定的。浏览器在TLS生态系统中扮演着独特的角色.
没有网络浏览器,任何人都无法上网。因此,浏览器将接收并验证数字TLS证书,然后与服务器交换密钥。因此,鉴于其最重要的作用,他们具有相当大的影响力.
而且请务必记住,浏览器的设计应尽可能地保持怀疑态度。不信任任何人。这是确保用户安全的最佳方法。因此,如果浏览器要信任数字证书(可能会滥用该数字证书,损害用户的利益),则需要一定的保证,即签发此证书的人应尽职调查.
这是证书颁发机构的角色和责任。而且,浏览器也不会犯错误。有一个原先的CA的坟墓场,这些CA违反了浏览器并被放牧.
当证书颁发机构证明其符合CAB论坛基准要求并通过所有必需的审核和审查后,它可以向各种根程序提出申请,以添加其根证书。.
根程序
根程序(主要由Apple,Microsoft,Google和Mozilla运行)是一种监督和促进根存储(有时称为信任存储)的设备,根存储是位于用户系统上的根CA证书的集合。这些根源再次具有不可思议的价值和不可思议的危险-毕竟它们可以颁发受信任的数字证书-因此,安全性是最重要的问题.
因此,CA几乎永远不会直接从根CA证书本身颁发证书。取而代之的是,它们启动中间根证书,并使用这些证书来颁发最终用户或叶证书。他们还可以将这些根移交给Sub-CA,这是证书颁发机构,它们没有专用的根,但仍可以从其中间节点发布交叉签名的证书.
因此,让我们将所有这些放在一起。网站要发布TLS证书时,会在其托管的服务器上生成称为证书签名请求(CSR)的内容。该请求中包含网站希望包含在证书中的所有详细信息。正如您将看到的,信息量可能从完整的业务详细信息到简单的服务器身份不等,但是一旦完成CSR,它就会被发送到证书颁发机构进行颁发.
在颁发证书之前,CA必须进行其CA / Browser论坛授权的尽职调查,并验证CSR中包含的信息是否准确。通过验证后,它会使用私钥对证书签名,然后将其发送回网站所有者进行安装.
证书链
TLS证书安装完成后,只要有人访问该网站,托管该证书的服务器就会向用户的浏览器显示该证书。浏览器将查看证书上的数字签名,该数字签名是由受信任的证书颁发机构制作的,它可以证明证书中包含的所有信息都是准确的事实.
这就是术语证书链接发挥作用的地方.
浏览器将读取数字签名并向上移动链上的链接-接下来,它将检查中间证书上的数字签名,该中间证书的私钥用于对叶子证书进行签名。它将继续遵循签名,直到证书链终止于其根存储中的一个受信任的根目录为止,或者直到证书链终止而不到达根目录(在这种情况下,浏览器错误将出现并且连接将失败).
这就是为什么您不能颁发和自签名证书的原因.
浏览器将仅信任可链接回其根存储的SSL / TLS证书(这意味着它们是由受信任的实体颁发的)。要求证书颁发机构遵守特定标准以保持其可信度,即使如此,浏览器也不愿信任它们.
浏览器没有关于自签名证书的保证,这就是为什么只应将它们部署在内部网络,防火墙之后以及测试环境中的原因.
SSL / TLS证书类型和功能
在讨论动态SSL / TLS之前,让我们先谈谈证书和可用的各种迭代。 TLS证书有助于TLS协议,并有助于指示网站进行的加密HTTPS连接的条款.
之前我们提到,安装TLS证书可以使您配置网站以通过端口443建立HTTPS连接。它还可以充当您与之交互的网站或服务器的名称标记。回到SSL / TLS和PKI本质上都是安全密钥交换的精妙形式的想法,SSL / TLS证书有助于通知浏览器它将会话密钥发送给谁—另一端的用户。连接是.
而且,当您分解SSL / TLS证书的各种迭代时,请牢记这一点。证书在功能和验证级别方面有所不同。或者换句话说,它们基于以下因素而有所不同:
- 要断言多少个身份
- 在哪些端点上声明身份
回答这两个问题将使您清楚地知道所需的证书类型.
断言有多少个身份
SSL / TLS证书提供三种不同的验证级别,它们取决于您的网站要声明的身份信息数量.
- 域验证SSL证书–声明服务器身份
- 组织验证SSL证书–声明部分组织身份
- 扩展验证SSL证书–声明完整的组织身份
迄今为止,域验证SSL证书由于其价格和发布速度而最为流行。 DV SSL / TLS证书需要简单的域控制检查,可以通过几种不同的方式来完成检查,但是一旦颁发证书即可。您还可以免费获得这些版本的30天和90天版本,这无疑增加了它们的市场份额.
缺点是DV SSL证书断言了最低限度的身份。而且,鉴于目前几乎所有钓鱼网站中都有一半安装了DV SSL证书,因此它们不一定会以信任的方式向您购买很多东西.
组织验证SSL证书是SSL / TLS证书的原始类型。它们也是CAB论坛在2016年决定使所有Intranet SSL证书无效之后唯一可以保护IP地址的SSL证书。组织验证需要进行轻度的业务审查,通常可以在一两天内发布,有时甚至更快。 OV SSL证书会断言某些组织信息,但互联网用户需要单击挂锁图标并进行查找。如今,您看到许多在大型企业和公司网络上部署的OV SSL证书,例如用于在防火墙后进行的连接.
由于DV和OV SSL证书都没有断言足够的身份来满足大多数浏览器的要求,因此它们会受到中立的对待.
到目前为止,扩展验证SSL证书是最具争议的,因为技术社区中的一些人认为需要做更多的工作来增强它们所依赖的验证。但是,EV SSL声明最大身份。为了完成扩展的验证,证书颁发机构对组织进行了严格的审核过程,在某些情况下,审核过程可能需要一周以上的时间.
但是好处是不可否认的:因为它可以断言拥有足够的身份,具有EV SSL证书的网站会受到独特的浏览器处理,包括在浏览器的地址栏中显示其名称.
没有其他方法可以做到这一点,而且您不能伪造一个— EV地址栏是我们今天拥有的最强大的视觉指示器之一.
什么端点可以断言身份
SSL / TLS证书变化的另一种方式是关于功能。自Internet成立以来,网站已经发生了很大的变化,许多公司以不同的方式部署网站。有些具有针对不同公司垂直领域的多个域;其他人则将子域用于多种功能和Web应用程序。有些同时使用.
无论上下文如何,都有一个SSL / TLS证书可以帮助保护它的安全.
单域
主要网站和标准SSL证书只是一个域。大多数现代的SSL / TLS证书都可以保护该域的WWW版本和非WWW版本,但仅限于单个域。您可以 在这里比较SSL证书.
多域
多域证书 或统一通信证书(对于Microsoft Exchange和Office Communications服务器)也可以使组织具有使用单个证书加密多个域的能力。这可能是一个有吸引力的选择,因为它可以节省资金,并且可以简化证书(过期/续订)的管理.
多域和UCC证书使用CSR中的“使用者备用名称”字段SAN,将其他域添加到证书中。大多数CA在单个证书上最多允许250个不同的SAN。而且大多数多域证书都带有2-4个免费的SAN,其余的可以根据需要购买.
通配符SSL证书
通配符SSL证书 是一种非常有用的证书类型,因为它们可以在URL的相同级别上加密无限数量的子域。例如,如果您有一个使用子域名的网站,例如:
- app.website.com
- portal.website.com
- user.website.com
您可以在CSR的FQDN字段中使用星号对所有这些文件使用相同的通配符证书进行加密:* .website.com
现在,任何子网域,甚至您尚未添加的子网域,都可以使用该证书进行保护.
尽管通配符证书有两个缺点。首先,通过在某些端点上使用相同的公钥,您更容易受到诸如Bleichenbacher攻击之类的特定攻击.
另一个是没有EV通配符选项。由于通配符功能具有开放式性质,因此浏览器不能委派这种信任级别。如果要在子域上使用EV地址栏,则必须分别对其加密或使用EV多域证书.
多域通配符
多域通配符是SSL / TLS生态系统中的一个相对较新的功能,它可以加密多达250个不同的域,但是它也可以在SAN字段中使用星号,这还使您可以加密250个不同的域以及它们的所有附带域级子域.
多域通配符的另一个用例是作为多级通配符,它可以在URL的多个级别上加密子域(标准通配符只能在一个级别上对其进行加密).
由于具有通配符功能,因此在EV中,多域通配符不可用.
运动中的SSL / TLS
现在,我们已经涵盖了构成SSL / TLS和PKI的所有重要概念,下面将它们放在一起并进行观察.
验证和签发
让我们从网站的开头开始,从网站从CA或代理商那里购买SSL / TLS证书。购买后,负责获取证书的组织联系人将在将要安装证书的服务器(托管网站的服务器)上创建“证书签名请求”.
与CSR一起,服务器还将生成公用/专用密钥对,并将专用密钥保存在本地。当CA收到CSR和公钥时,它将执行必要的验证步骤,以确保证书中包含的任何信息都是准确的。通常,对于商业认证证书(不是DV),这涉及在政府数据库中查找组织的注册信息和公共记录。.
验证完成后,CA将使用其颁发的证书之一(通常是中间根)中的一个私钥,并对证书进行签名,然后再将其返回给站点所有者.
现在,网站所有者可以获取新发行的SSL / TLS证书,将其安装在其服务器上,并配置网站以在端口443上建立HTTPS连接(使用301重定向将流量从先前存在的HTTP页面发送到其新的HTTPS对应对象).
身份验证和SSL握手
现在已经安装了SSL / TLS证书,并且已经为HTTPS配置了网站,下面让我们看一下它如何促进与网站访问者的加密连接.
到达网站后,服务器会将SSL / TLS证书提供给用户的浏览器。然后,用户的浏览器执行一系列检查.
首先,它将通过查看其数字签名并遵循证书链来对证书进行身份验证。它还将确保证书尚未过期,并检查“证书透明度”(CT)日志和“证书吊销列表”(CRL)。如果链条引回到系统信任库中的根目录之一,并且有效,浏览器将信任证书.
现在是握手时间.
SSL / TLS握手是客户端(用户)和服务器(网站)协商其安全连接的参数,生成然后交换对称会话密钥的一系列步骤。.
首先,他们将决定使用密码套件。密码套件是将用于连接的一组算法和密码。 SSL / TLS证书提供了服务器支持的密码套件的列表。通常,密码套件包括一个公用密钥加密算法,一个密钥生成算法,一个消息身份验证算法以及一个对称或批量加密算法,尽管在TLS 1.3中已经完善.
客户端收到支持的密码列表后,将选择一个可接受的密码并将其传达给服务器。客户端将在此处生成一个对称的会话密钥,使用公共密钥对其进行加密,然后将其发送给服务器,该服务器拥有解密会话密钥所需的私钥.
双方都有会话密钥的副本后,就可以开始通信了.
那就是SSL / TLS.
您可以看到我们之前经历的所有概念如何相互影响,以创建一个复杂而优雅的系统来保护Internet连接。我们使用公共密钥加密技术来安全地交换我们将与之通信的会话密钥。由于我们在各种CA,浏览器和根程序之间拥有适当的基础结构,因此可以信任声明服务器或组织身份的证书。.
通信是对称的私钥加密的结果,而对称的私钥加密是上古经典密码系统的衍生产品.
有很多活动的部分,但是当您放慢脚步并逐个了解它们时,更容易了解它们如何协同工作.
开始之前,我们先完成一些与SSL / TLS相关的操作,您可以进行安装后/配置操作以最大程度地利用您的投资.
在SSL / TLS之后–充分利用您的实施
仅安装证书并正确配置您的网站并不意味着您的网站安全。 TLS只是更广泛的整体网络防御策略的一个组成部分。但是,这是一个重要的组成部分。让我们介绍一些可以做的事情,以确保您从实施中获得最大收益.
禁用对旧协议的服务器支持
回到我们之前关于密码套件的对话,配置服务器的一部分是确定要支持的密码套件和SSL / TLS版本。必须禁用对较旧的SSL / TLS版本以及特定算法的支持,以防止易受多种已知漏洞利用.
SSL 2.0和SSL 3.0已有20多年的历史了。最佳实践是几年前弃用对它们的支持,但到目前为止,Alexa排名前100,000的用户中约有7%仍允许它们。这很危险,因为它使您容易遭受SSL剥离和降级攻击(如POODLE).
TLS 1.0和TLS 1.1也在借用时间.
苹果,微软,谷歌和Mozilla等主要科技公司在今年秋天联合宣布,他们将在2020年初弃用对TLS 1.0和1.1的支持.
协议版本容易受POODLE,FREAK,BEAST和CRIME(这些都是缩写)之类的漏洞的影响。 TLS 1.2已经发布十年了,应该成为标准。 TLS 1.3已于去年夏天完成,自采用以来,它一直在稳步发展.
此外,还有一些不应使用的特定算法。例如,DES可能会在几个小时内损坏。 RC4比以前所认为的更加脆弱,并且已经被“支付卡行业”的数据安全标准所禁止。最后,鉴于最近的漏洞利用的消息,建议不要再使用RSA进行密钥交换.
建议的算法/密码:
- 密钥交换:椭圆曲线Diffie-Helman(ECDH)
- 身份验证:椭圆曲线数字签名算法(ECDSA)
- 对称/批量加密:Galois计数器模式下的AES 256(AES256-GCM)
- MAC算法:SHA-2(SHA384)
永远在线SSL
过去,网站有时仅将收集信息的网页迁移到HTTPS,而通过HTTP为网站的其余部分提供服务。这是一个坏习惯.
除了Google会将这些页面标记为“不安全”这一事实之外,您还可能通过使浏览器在加密页面和HTTP页面之间来回跳转来使网站的访问者面临风险。.
您应该为HTTPS配置整个网站。这称为永远在线SSL。毕竟,这不像您按页面付款一样,您的SSL / TLS证书可以加密整个网站。所以做到.
设置证书颁发机构授权(CAA)记录
通常,数字证书带来的最重大风险之一就是误签发。如果您以外的一方获得了您网站的SSL / TLS证书,则他们可以有效地冒充您,并引起各种问题.
CAA记录通过限制哪些证书颁发机构可以为您的网站颁发数字证书来帮助减轻这种风险。 CA /浏览器论坛要求证书颁发机构在颁发任何证书之前检查CAA记录。如果CA没有颁发该站点的授权,则不会。这样做将被视为误发布,并引起浏览器社区的愤怒.
添加CAA记录相对容易,它是一个简单的DNS记录,可以通过大多数托管平台的界面添加。您可以限制可能为您的域颁发的CA,以及是否也可以为其颁发通配符证书.
将您的网站添加到HSTS预载列表中
HTTP严格传输安全性或HSTS是HTTP标头,可强制浏览器仅与给定站点建立HTTPS连接。这样,即使Web用户尝试转到页面的HTTP版本,他们也只会最终访问HTTPS版本。这很重要,因为它可以关闭一些已知漏洞,例如降级攻击和cookie劫持.
不幸的是,HSTS仍然存在很小的攻击媒介,这就是为什么您应该将网站添加到预加载列表中的原因。通常,当访问者到达您的网站时,他们的浏览器将下载HTTP标头,然后在策略设置为持续很长时间的情况下遵守该标头。但是在第一次访问时,在收到标头之前,攻击者仍然有一个很小的空缺.
HSTS记录的预加载列表由Google运行,并且所有主要浏览器都在使用其中的一些变体。这些浏览器仅知道通过HTTPS连接到列表中的任何网站,即使以前从未访问过该网站。您的网站可能需要一两周的时间才能显示在列表中,原因是该列表的更新是与浏览器的发布时间表一起推出的.
SSL / TLS常见问题
什么是X.509证书?
X.509是指与SSL / TLS和其他类型的PKI一起使用的数字证书的类型。 X.509是公用密钥加密标准。有时,您会看到公司使用X.509证书代替“数字证书”或“ PKI证书”。
为什么SSL / TLS证书过期?
有两个原因.
首先是互联网在不断变化,网站来了,网站也去了。考虑到浏览器首先对信任这些证书的敏感程度,他们希望知道提供证书的网站正在接受定期验证。它与您偶尔需要检入以更新驾驶执照上的信息的方式没有什么不同.
另一个原因是技术上的。当证书在3-5年内没有过期时,很难扩散更新和技术更改。而如果证书每24个月过期一次,则最长可能过期的证书为两年。 2017年,最大有效期从三年减少到两年。可能会缩短到12个月.
您如何续订SSL / TLS证书?
续签可能有点用词不当,因为您要用新发行的证书替换旧证书。定期执行此操作可以使您了解加密技术的最新进展,并确保您的验证信息保持最新。 CA只能重复使用最初提供的验证信息,直到基线要求迫使它们重新验证它为止。.
续订时,可以保留以前的证书类型,也可以使用新的证书,甚至可以更改CA。最重要的是,您还有多少时间可以使用到期证书-您最多可以保留三个月。只要您在证书过期之前进行续订,就可以保留剩余时间,并重复使用自上次验证以来尚未超时的任何验证信息。如果让它过期,那就从头开始.
什么是HTTPS检查?
许多具有较大网络的较大公司都希望对其流量具有可见性。在这方面,HTTPS是一把双刃剑。它可以保护人们的隐私,但也可以帮助网络犯罪分子藏身。许多组织会在边缘设备或中间盒上解密HTTPS流量,然后以纯文本格式将其发送到防火墙后,或者对其进行重新加密并按其方式发送。如果您不重新加密流量,则称为SSL终止。当您重新加密时,这称为SSL桥接.
什么是SSL卸载?
SSL卸载是另一种企业实践。大规模地执行数千次握手,然后对所有数据进行加密和解密会增加网络资源的负担。因此,许多较大的网络会将SSL功能转移到另一台设备上,以便应用程序服务器可以专注于其核心任务。有时称为负载平衡.
为什么我的CA向我发送了中间证书?
记得前面讨论根程序时?
Very OS具有用于存储PKI信任判断的根存储。但是,CA不会从这些根源颁发最终用户证书,因为担心如果必须撤销一个证书,将会发生什么。取而代之的是,它们旋转中间根并将其散发出去。问题是那些中间根不在系统的信任库中.
因此,如果网站未同时提供中间证书和叶SSL / TLS证书,则许多浏览器将无法完成证书链,并会发出警告。某些浏览器确实缓存了中间证书,但是仍将与您的叶子证书一起安装任何中间证书作为最佳实践.
扩展验证SSL证书需要什么文件?
在大多数情况下,执行扩展验证的证书颁发机构将首先尝试通过公共可用的“政府颁发机构”资源访问信息。.
但是,在某些位置,这可能是不可能的。但是,有些事情可以帮助加快验证速度。虽然最近减少了《专业意见书》可以满足的确认检查的数量,但让律师或会计师保持良好信誉的做法仍然可以大大帮助您.
此外,您可以提供政府颁发的业务凭证或“权利证明”文件,使您的组织有权使用所列名称进行交易。这些文档的一些示例是:
- 公司章程
- 成立证书
- 商业/供应商/商人许可证
- 宪章文件
- 合作协议
- 商标或假定名称的注册
- 商业登记官
收盘时
我希望这能使您对SSL / TLS有所了解。如果您有兴趣了解更多信息,那么我建议您 参加本在线课程.
这篇文章是由 被SSL商店淘汰, 一个涵盖网络安全新闻和趋势的博客.
