SSL证书之TLS安全4:SSL / TLS证书介绍

当您使用数据加密与第三方安全通信时,您通常希望确保他们是他们所说的人。例如,当您使用在线银行或电子商务网站并发送敏感信息时,您希望确定这不是一个冒名顶替的网站。

为此,SSL协议(安全套接字层)和TLS协议(传输层安全性)包括称为数字证书的安全措施。使用此机制,可以由另一方对公钥进行签名。证书还包含与公钥所有者有关的身份信息。

SSL / TLS证书

证书颁发机构

如果您访问银行的网站并收到由其他实体签名的证书,您可能仍然对网站安全性感到不确定。您可能担心签署证书的实体是冒名顶替者。公钥基础结构(PKI)解决了这个问题。PKI包括管理数字证书和公钥加密所需的一切。

您可以信任几个PKI实体。它们被称为证书颁发机构(CA)。他们验证其他实体(公司、组织、个人)并确认他们确实是他们所说的人。在这种验证之后,CA使用自己的证书对证书进行签名。CA的证书称为根证书。

所有CA的根证书(以及它们的公钥)都被认为是可信的。它们安装在Chrome、Firefox和Edge等所有浏览器中以及操作系统(包括Windows)中。流行的CA包括IdenTrust,Comodo,DigiCert,GoDaddy,GlobalSign和Symantec。目前有超过200个根证书受到浏览器的信任。

SSL/TLS Web连接需要TLS/SSL证书,但该证书可以由任何人签名。它甚至可以是自签名的(由创建证书的实体签名)。当访问使用SSL/TLS保护的网站时,浏览器通过检查该网站是否由受信任的根证书签名来检查该网站是否具有有效的证书。它还会检查证书是否适用于您正在访问的域,并显示有关证书所有者的信息供您验证。如果证书不是由受信任的根证书签名,则Web浏览器会显示明确的警告。您通常可以选择忽略警告(取决于Web浏览器的设置)。

安全浏览

很容易识别网站是否具有有效证书以及您是否使用安全连接。您需要做的就是查看地址栏(适用于所有主流浏览器)。

SSL安全浏览

绿色锁和HTTPS协议(https://)表示与Web服务器的连接是加密且安全的。

不安全浏览

识别一个不安全的网站也很容易。没有绿色锁,也没有提到HTTPS。

没有SSL的不安全浏览

但是,有些网站使用HTTP来传递部分内容,如图像。在这种情况下,您将看到与此类似的消息:

有混合内容的https连接

使用https连接,混合内容表现。

只有部分安全的内容称为混合内容。混合内容会破坏安全连接的目的。当您从登录的网站请求文件时,Web浏览器会自动随请求一起发送您的身份验证Cookie。

因此,如果使用HTTP加载资源,则通过非加密连接发送请求。如果攻击者正在嗅探网络,他们就能够以明文形式看到这个请求。这会损害会话的安全性,因为攻击者使用cookie登录网站并冒充您。因此,您应该像处理未加密的网站一样对待混合内容的网站。

SSL / TLS证书的类型

SSL/TLS证书有不同的版本。从技术角度来看,它们可以分为三组,具体取决于它们适用的域的范围。

单域名

此类证书仅适用于一个主机名(完全限定域名 - FQDN)或子域。例如,您可以获得www.example.com或my.example.com的证书。但是,mail.example.com将不包括在此证书范围内。证书只对您在注册期间指定的一个主机名有效。

通配符

这种类型的证书适用于包含其所有子域的整个域。例如,如果您注册*.example.com,则证书将应用于mail.example.com、secret.example.com、admin.example.com和所有其他子域。只要域相同,您就可以在不同服务器上托管每个子域,并在多个服务器上使用相同的通配符SSL/TLS证书。

多域名

这种类型的证书适用于多个不同的域名。每个域名可以是单个域或通配符。通常,当您获得此类证书时,您可以随时更改域名。此类证书通常也称为主题备用名称(SAN)证书。

SSL/TLS证书验证

从身份验证的角度来看,SSL/TLS证书也有不同的版本。身份验证越严格,证书就越可信,但获取证书的时间越长。

域验证

域验证证书仅确认申请证书的人是域名的所有者(或至少有权控制域名的web服务器)。这种验证通常只需要几分钟到几个小时。

组织验证

证书颁发机构(CA)不仅验证域名所有权,还验证所有者的身份。这意味着可能会要求所有者提供证明其身份的组织信息和身份证明文件。此类验证可能需要几天时间。

扩展验证

这是最高级别的验证。它包括域名所有权和所有者身份的验证,也要求企业提供合法注册证明。此类验证可能需要更长时间。

证书生成

如果要从证书颁发机构申请证书,则需要生成证书签名请求(CSR)。首先,创建一个用于解密证书的私钥。然后,生成CSR。生成CSR时,系统会要求您指定域名以及有关组织的详细信息,例如名称、国家/地区和电子邮件。以下是CSR的示例。

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

生成CSR后,必须将其提交给CA。 证书准备就绪后,CA通常会将其作为*.crt文件发送到您的电子邮件地址。必须在服务器上安装此文件。

如何申请SSL/HTTPS证书