Posted on 2013-08-21 13:47
泰仔在線 閱讀(285)
評論(0) 編輯 收藏 所屬分類:
網上沖浪
1、 什么是SSL?
SSL 是一個安全協議,最初是由美國網景 Netscape Communication 公司設計開發的,全稱為安全套接層協議 (Secure Sockets Layer) 。它采用公開密鑰技術為傳輸通信提供如下幫助:
1. 信息傳輸的保密性;
2. 數據交換的完整性;
3. 信息的不可否認性;
4. 交易者身份確定性。
換句話說,服務器部署SSL證書后,其核心能就是確保服務器與瀏覽器之間的數據傳輸是加密傳輸的,在數據傳輸過程中不被篡改或被解密。瀏覽器上,用戶可通過“金色鎖型”標記,得知是否已處于SSL安全保護,如果更先進的VeriSign EV SSL證書,那么除了“鎖型”標記外,瀏覽器的地址欄還會變成綠色。
2、 什么是SSL證書信任根
數字證書是一種特殊商品,它所傳達的是信賴、可信和安全。而CA數字認證中心是證書的頒發機構,負責檢驗和簽發SSL證書。但全世界有眾多CA機構,技術實力、經營狀況各不相同,如何對這些簽發證書的CA機構進行界定,證書信任根起到了關鍵作用。
目前瀏覽器中,只會根預埋一些擁有強大技術實力的數字認證中心的根證書,例如VeriSign。而對于其他未經驗證的數字認證中心簽發的SSL證書,當用戶在訪問網站時,瀏覽器就會自動彈出安全警示窗口。
3、 什么是SGC技術
SGC技術(Server Gated Cryptography)是在現有的SSL證書標準基礎上增加的一種增強密鑰用法(EKU),主要是考慮到2000年以前美國政府對高強度加密算法(128位)出口限制的因素而推出的,由于出口管制的原因,2001年以前推出的瀏覽器版本(如:IE 5)和服務器版本(Windows 2000 server)都只支持56位或40位加密算法,但由于電腦硬件技術和CPU處理速度的快速提高,使得破解40位加密算法只需幾秒鐘,而破解56位加密算法也只需幾天時間。
為了加強美國以外的國家的電子商務和網上銀行的安全,SSL證書業界就在SSL證書標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU),也就是說:即使受出口限制的40位或56位瀏覽器或服務器,只要使用支持SGC技術的SSL證書,就能不受限制的實現128位加密。這種強制實現128位高強度加密技術簡稱為SGC技術。
4、 SSL證書是否會影響到速度和流量
因為要為每一個SSL連接實現加密和解密,所以會增加服務器CPU的處理負擔,但一般不會影響太大。但考慮到對于客戶隱私安全的保護,根據相關調查顯示,在重要頁面部署知名品牌的SSL證書,不但不會流失客戶,反而有效促進客戶成交。
為了更好的利用SSL證書技術,建議可注意以下幾點,緩解服務器負擔:
(1) 僅為需要加密的頁面使用SSL,如登錄或需要提交客戶數據的頁面,如(https://www.domaincom/login.asp),不要把所有頁面都使用https://,特別是訪問量最大的首頁;首頁和其他頁面可以通過部署VeriSign動態簽章標志,提示客戶此網站安全可信。
(2) 盡量不要在使用了SSL證書的頁面上設計大塊的圖片文件和其他大文件,盡量使用簡潔的文字頁面。并通過文字或VeriSign動態簽章標志提示消費者,頁面處于SSL證書安全保護狀態。
如果網站交易量或訪問量異常龐大,天威誠信建議客戶可購買SSL加速卡來專門負責SSL加解密工作,這樣可完全不增加服務器任何負擔。此外,增加服務器也是一個不錯的選擇。
5、 crt、cer、key、der、pem分別是什么格式證書文件
證書文件的擴展名只是一種使用習慣上的區別。在apache下,習慣用crt作為證書文件擴展名,在IIS等一些平臺下,則習慣用cer作為證書文件的擴展名。Key則通常是私鑰文件的擴展名。而pem則是包括crt、cer、key、der等文件,或者將多個文件粘貼到一塊的統稱。
6、 SSL證書做雙向認證是否需要安裝第三方的插件
常用的webserver 中間件都會有支持客戶端認證的功能,配置SSL證書只需要修改配置文件便可以啟用客戶認證的功能,而不需要安裝第三方的插件。
7、 托管服務器,是否可以安裝SSL證書
99%以上的服務器和客戶端瀏覽器都是支持SSL。虛擬主機一般也可以安裝應用服務器證書,但具體能否安裝服務器證書還要看服務提供商是否提供該服務。一般獨享的主機服務提供商會給予完全管理權限,可以直接安裝服務器證書。如果是多人共享的主機,通常也可以通過和服務提供商溝通,購買獨立IP,或購買SSL許可的方式來安裝SSL證書。
8、 如果服務器換了IP地址,原來的SSL證書是否還能使用?
一般SSL證書都是綁定域名的,服務器更換IP地址不會有任何影響。只要域名不變,原來的SSL證書當然照樣可以用,重新解析到新的IP地址即可。但如果您申請的SSL證書是為IP地址申請的,則服務器換了IP地址,原來的SSL證書就不能用了。所以,要根據業務情況需要決定是為您的網站域名還是IP地址來申請證書。
9、 如果改變了硬件、軟件(web server),SSL證書是否需要重新申請?
SSL服務器證書與硬件無關,如果系統和web server版本相同,也不會有任何影響。但如果改變了服務器軟件,證書就要重新申請。因為SSL服務器證書不可以更換平臺使用。
10、 IIS上如何在同一個站點上請求多張證書,或更新、更換證書
微軟IIS 6.0中,每一個網站只允許同時發出一個CSR請求。如果在已有的請求之上重新創建一個新的CSR請求,原始請求(和私鑰)將被覆蓋。所以在正式提交CSR請求后,請不要在原有站點上對服務器做證書方面的配置。
如果要為同一個站點請求多張證書,或更新、更換證書,可以先創建一個臨時站點,在臨時站點上做證書的請求操作。在證書正確安裝到臨時站點上之后,則可以刪除該臨時站點,并在正式的站點上用“指派現有證書”或“替換當前站點證書”的方式來切換證書的應用。
轉自:http://blog.sina.com.cn/s/blog_5fb9ce0e0100gt71.html