https并不是一个单独的协议,只不过在HTTP的基础上用TLS/SSL进行加密,这样通信就不容易被拦截和攻击。那么现在市面上的各种SSL证书,如何去选择呢?新手站长或网络运维人员怎么去挑选合适的SSL证书,拿到只买贵的就行了?
想要判断一个品牌的SSL/TLS证书是否安全性高,首先就要了解他的技术原理。弄懂了原理,自然就知道了如何运行的,这样你就能从更加深入的视角去思考和判断,而不是人云亦云和不知所然。
对称加密和非对称加密
加密有各种各样的方式,例如两个人交流,不想被别人知道什么意思,就可以采用倒念的方式来混淆。“倒念”在这个过程里就是属于加密方式。
上面这种就是属于对称加密。如果有第三方知道加密的规则,那就相当于没加密了,很容易破解。
于是就有了”非对称加密“的这个技术。这里就存在公开密钥和私有密钥。A和B之间传输的信息有两个,一个是B的公钥,一个是B公钥加密的密文,由于B的私钥没有出现在通信内容中,因此C无法对密文进行解密。
1、假设A要给B发一条信息,A是发送者,B是接收者,窃听者C可以窃听他们之间的通讯内容。
2、B生成一个包含公钥和私钥的密钥对
私钥由B自行妥善保管3、B将自己的公钥发送给A
B的公钥被C截获也没关系。
将公钥发给A,表示B请A用这个公钥对消息进行加密并发送给他。4、A用B的公钥对消息进行加密
加密后的消息只有B的西药才能够解密。
虽然A拥有B的公钥,但用B的公钥是无法对密文进行解密的。5、A将密文发送给B
密文被C截获也没关系,C可能拥有B的公钥,但是B的公钥是无法进行解密的。6、B用自己的私钥对密文进行解密。
?
现在最常见的加密方式便RSA算法了,这种算法综合对称加密和非对称加密,加密和解密过程如图所示:
大致了解了加密和解密的原理之后,再来看看啥事SSL证书,SSL证书其实就是保存在源服务器的数据文件。要让SSL生效,就需要向CA申请。这个证书除了表明域名、时间等信息之外,还包括了特定的公钥。生效后,就可以用https作为前缀进行访问了,浏览器也会把HTTP的默认端口80改为HTTPS的默认端口443。
等这些配置好之后,就是SSL/TLS握手的过程。这里不再详细赘述。
免费or付费?
SSL证书有免费和付费之分。毋庸置疑,免费的SSL证书安全性肯定比付费的要低。据我所查,各种SSL证书的基本原理都差不多,甚至算法都是基于SRA算法。那些贵的SSL证书,更多的是卖保险,而不是证书,例如那些证书会有多少的赔偿条约,要是因为SSL证书不安全导致的损失。这对于个人站长而言必要性不是很大,一般都是那些大企业所需求的。
但是,有的地方不是贵的就合适。
对于个人站长而言,免费的就够了。或者便宜点的付费证书也值得选择。
在《Typecho个人博客SSL证书不够用的N种免费解决方案》一文中,就介绍了一些免费且正规的SSL证书申请。
由正规的CA机构颁发的SSL证书又分为三种不同的验证方式,即DV、OV、EV。这三种验证方式的SSL证书安全性也是不一样的,排列一下高低就是EV>OV>DV。
这仅仅是对于个人站长而言。现在一切都应该走向付费,毕竟天下没有免费的午餐。
但是现在的SSL证书市场还是挺杂乱的,那些大牌的很多非企业类的根本买不起,少则大几百高则好几千一年。在《SSL证书为什么价格差距那么大?哪款SSL证书的性价比高?》一文中也简单统计了一些证书及类型对应的价格。
如果对付费的SSL证书感兴趣,这里我建议一个性价比很高的国产品牌——JoySSL。网盾数科旗下品牌JoySSL是专业的https安全方案服务商,业务涉及网络安全技术服务、安全防护系统集成、数据安全软件开发等。
而且有很多可以无限续签的免费SSL证书,类似于Let's Encrypt那种,虽然每次只有90天,申请地址:
SSL证书申请_SSL证书购买_https证书申请_https证书购买-JoySSL
付费版的我个人觉得也是非常良心了,价格不贵。单域名的只要一百多块钱一年,并且提供全程的售后。感兴趣的小伙伴可以去看看:
? 本网站名称:陶小桃Blog
? 本文链接:如何判断SSL/TLS证书的安全性高低?越贵越好?懂点原理会少花冤枉钱-陶小桃Blog
? 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行核实删除。
? 转载本站文章需要遵守:商业转载请联系站长,非商业转载请注明出处!!