(你认为术语“SSL”和“TLS”只是极客行话吗?SSL 或 TLS 证书呢?您是否对尝试理解这些技术术语感到有些犹豫?别担心,本文旨在以一种大多数非技术读者可以理解的简化方式为您提供 SSL 的含义和定义。(这也包括定义 SSL/TLS 证书!)
SSL 的含义有两个方面。SSL 是 Internet 上安全通信的重要组成部分。它是一种安全协议,专为通过 Internet 上的网站安全传输数据而开发。但是,SSL 也是用于描述 SSL 证书的术语。SSL 证书虽然密切相关,但与协议本身不同。但在我们真正深入讨论 SSL/TLS 证书之前,我们首先需要讨论 SSL 和 TLS 的含义以及它们与这些证书的关系。
当人们谈论用于网站安全的“SSL”时,他们通常指的是 SSL 证书。然而,还有更多的东西 – 它只是图片的一部分。那么,SSL 代表什么?SSL 一词实际上是指称为安全套接字层的 Web 协议。这是通过使用加密和解密来促进公共渠道中的身份验证和安全通信的协议。(这使得在您的网站上进行安全交易成为可能。)
SSL 的快速定义是,它是一种在两个端点(例如计算机和 Web 服务器)之间提供安全数据传输通道的方法。当然,技术总是在不断发展,所以 SSL 确实是一个过时的术语。如今,我们确实在使用 TLS(或传输层安全)作为此类数据交换的安全协议。以旧换新!(注意:它实际上并不是那么新。虽然 TLS 1.3 现在是标准,但 TLS 1.0 是在 1999 年首次引入的!)
无论您想称它为“SSL/TLS”、“TLS”还是“SSL”,我们真正谈论的是TLS。该协议使“HTTPS”和漂亮的安全挂锁出现在我们的浏览器中。因此,在某种程度上,SSL 的含义是 HTTPS 和数据安全的同义词。
在创建 SSL/TLS 之前,信息将以纯文本、可读格式传输。(这是您经常在网址栏中看到的“HTTP”。)使用安全协议意味着使用加密连接 (HTTPS) 传输数据。这导致数据传输为看起来像乱码的密文,如果没有解密密钥,没有人可以理解。所以,基本上:
HTTP = 不安全的协议
HTTPS = 安全协议。
那么,为什么我们仍然称协议为 SSL 而不是 TLS?因为这个行业在更新我们对术语的使用方面变化缓慢。基本上,IT 和网络安全专业人士认为,当人们谈论 SSL 时,他们真正指的是 TLS。不过,这有时可能有点令人困惑,因为我们行业内的人们倾向于交替使用术语“SSL”和“TLS”。
这变得更加令人困惑,因为人们也可以互换使用术语“SSL”和“SSL 证书”。通过 HTTPS 加载网站的方法是在您的 Web 服务器上安装 SSL/TLS 证书,因此人们只是使用“SSL”作为描述数字证书的一种方式。这让我们了解了 SSL 证书(或者实际上是 TLS 证书)的定义和含义。
SSL 含义:什么是 SSL/TLS 证书?
现在,是时候讨论 SSL 的另一种意义了。如果不谈论 SSL/TLS 证书,就不能谈论 SSL 的含义。SSL 证书基本上是您网站版本的身份证。这是将您的组织(及其代理网站)标识为合法的原因。与政府 ID 卡由信誉良好的机构(例如机动车辆管理局)颁发的方式非常相似,这些证书由称为证书颁发机构 (CA) 的受信任第三方颁发。
SSL/TLS 证书有不同的“风格”,如果您愿意,这取决于您组织的需求。可以根据它们保护的站点类型或它们提供的业务验证级别来组织它们。(我们将在文章后面对此进行更多讨论。)
从技术上讲,SSL/TLS 证书是数字证书(文件),它允许服务器向客户端进行身份验证并与它们建立安全、加密的连接。他们使用我们刚才谈到的 TLS 协议和称为公钥加密的东西来做到这一点。
公钥加密是一个涉及使用两个加密密钥——一个公钥和一个私钥——来加密(公钥)和解密(私钥)数据的过程。公钥为服务器所知并且是公开可用的。另一方面,私钥是保密的。
SSL 证书将您组织的信息绑定到这些加密密钥,以告知浏览器(Web 客户端)该密钥属于您的域或组织。这允许服务器在继续建立对称连接以传输数据之前快速向 Web 客户端验证自身。
现在,要进行这种加密,需要执行某些加密功能,以允许客户端通过安全的 HTTPS 协议连接到您的网站。SSL/TLS 证书提供了使这一系列过程成为可能的信息。这包括:
交换与密码套件和参数相关的信息。这有助于客户端和 Web 服务器确定它们相互支持哪些加密功能。
识别和验证交换中的一方(或在某些情况下双方)。这样,客户端可以验证它是否连接到正确的服务器而不是冒名顶替者。
交换导致对称会话密钥生成的密钥。这对于创建我们之前讨论过的安全、加密的连接是不可或缺的。
为什么使用 SSL/TLS 证书很重要
如果没有 SSL/TLS 证书,这些事情都不可能发生。SSL/TLS 证书的目的是:
添加身份以向用户的 Web 客户端(浏览器)验证网站服务器。
在用户和 Web 服务器之间传输数据时保持数据的机密性(使用加密)。
确保数据在传输过程中不被更改(数据完整性)。
如果网站上没有 SSL 证书,则在用户设备和您的 Web 服务器之间传输的数据将以明文形式存在。任何知道如何拦截这些数据的人都可以通过攻击传输线来读取甚至操纵数据。这称为中间人 (MitM) 攻击。该黑客将能够恶意使用您的数据,或者将您的数据出售给将使用它的其他人。
通过使用 SSL 证书,您可以对通信通道进行加密,从而防止任何侦听者读取或更改该数据。当然,使用 SSL/TLS 证书还有一些额外的好处:
它可以帮助您的网站在消费者眼中建立更强大的信任和信心。
它有助于提高您网站在 Google 眼中的声誉(提高您的 Google 搜索引擎排名)。
您在数据安全方面遵守不同的数据隐私法规。
SSL/TLS 证书还可以通过向站点添加身份来帮助用户识别潜在的网络钓鱼站点。识别一个组织是合法的还是虚假的(通过阅读证书详细信息,取决于站点拥有的证书类型)可以帮助防止用户在欺诈站点上输入他们的信息。
SSL/TLS 证书如何保护传输中的数据
现在,让我们从 SSL 如何保护 Internet 上的数据的角度来谈谈 SSL 的含义。SSL 协议对在服务器和客户端之间传输的数据进行加密,以防止数据被窃听。当这些数据通过 SSL/TLS 协议传输时,拦截它的攻击者即使设法获取数据,也只会发现垃圾。
如果没有解密密钥,他们就无法在传输过程中窃取或更改数据。这使得所有相关方的在线购物、银行业务或任何其他交易都安全可靠。
上图显示了我们网址前的挂锁和“HTTPS”,这表明该网站是安全的,并且已通过受信任的证书颁发机构进行验证。
当您单击挂锁时,您可以看到连接是安全的并且信任证书是有效的。
当您单击证书(有效)选项时,将弹出另一个窗口,为您提供有关证书、域和/或拥有它的组织的附加信息。这种经过验证的身份有助于服务器与浏览器建立信任。
SSL 和信任链
SSL 证书不是独立存在的;它实际上是 SSL 证书链的一部分。这有助于赋予它必要的可信度,这也使它成为公钥基础设施的关键部分。
证书链是三种证书的集合:根证书、中间证书和服务器证书。所有这些数字证书对于数据的成功加密和解密都至关重要。这些证书相互关联,形成所谓的证书链或“信任链”。
信任链包括:
自签名根 CA 根证书,
一份或多份中级证书,以及
服务器证书(SSL/TLS 证书)。
证书链的细分以及一个证书如何签署下一个证书。
尽管特定网站只有一个根证书和服务器证书,但中间证书可以不止一个。“链接”可以轻松地将服务器证书追溯到其受信任的根。
如何判断网站是否使用 SSL
好的,我们已经讨论了 SSL 的含义、SSL/TLS 证书是什么、它们为何重要,以及它们在身份验证和数据机密性方面帮助您完成什么。但是 SSL/TLS 证书的类型是什么,它们在验证方面有何不同?
单域— 此基本 SSL/TLS 证书保护单个域。
多域 – 这允许您保护多个域。
通配符— 此证书使您能够在单个域的单个级别上保护无限数量的子域。
多域通配符— 这允许您为多个域保护无限数量的子域。
它们还具有不同的验证级别:
域验证(DV),
组织验证 (OV),以及
扩展验证 (EV)。
因为网站有不同的用途,所以需要不同类型的证书。有些网站不需要与用户进行任何交互。有些要求用户提交敏感数据,如姓名和电子邮件地址。有些人会要求提供更多个人信息,例如网上交易的银行详细信息。
让我们更深入地探索三个验证级别,以帮助您了解每个验证级别的含义以及为什么需要它。
域验证 (DV) SSL/TLS 证书
一个域名验证证书是最基本类型的SSL证书。在颁发 DV 证书时,CA 将简单地检查您是否拥有您想要证书的域。这是一个非常简单的过程,您可以在几分钟内拥有一个 DV。
DV 通常是最便宜的证书类型。由于不需要业务验证,CA 可以在几分钟内自动颁发 DV 证书。
现在,如果您的网站不收集访问者的数据,您可以选择 DV。但是,如果您的组织确实收集了个人或财务信息或任何其他敏感数据,那么您将需要使用具有更高验证要求的证书(即,接下来两种类型的证书之一)。
给网站访问者的简短说明:如果您访问的网站只有 DV 证书,则永远不要泄露您的敏感信息。那是因为您无法验证安全连接另一端的实体的身份。如果您将数据直接发送给网络犯罪分子,那么安全的加密连接无济于事!
组织验证 (OV) SSL/TLS 证书
一个组织验证SSL证书也被称为一个基本的业务验证证书,因为它需要一个CA颁发它一定的组织核查。由于需要手动验证过程,因此颁发 OV 证书需要几天 (1-3) 天。
除了验证站点的域所有权之外,CA 还检查政府记录和替代资源,以确保组织满足其他验证要求:
它是合法的,是合法注册的(组织认证)。
它在其注册区域内具有活跃的合法存在(本地存在验证)。
公司的电话号码与政府记录相符(电话验证)。
可以通过电话(最终验证电话)确认该特定公司信息。
这些类型的证书适用于希望获得中等程度公众信任的组织,因为它们不处理敏感信息。出于营销目的,该网站可能会要求提供包含访问者姓名、电子邮件地址和电话号码等基本凭据的登录信息。
如果您的组织收集任何类型的个人或财务数据,那么组织验证应该是您在站点上使用的绝对最低限度。
扩展验证,顾名思义,是CA对企业的深入验证。当网站接受客户在线为其提供的商品或服务付款时,EV 证书是必需的。他们必须处理客户的敏感信息,例如银行详细信息和支付网关的银行密码。
CA 必须对企业进行最高级别的验证才能发布 EV。颁发证书最多需要 5 天时间(尽管通常平均约为 3 天)。与 OV 流程非常相似,受信任的 CA 将验证组织的信息——但这一次,他们将更深入地参与该验证流程。他们会验证:
使用政府或其他第三方报告进行业务注册。
报名表或协议确认书
验证实际操作存在
验证公司的确切实际地址。
电话验证
域验证
最终验证电话
有关 DV、OV 和 EV 验证过程的更多信息,请查看我们的SSL 验证指南。
当您是客户时,如果网站没有 EV,您永远不应在线支付任何商品。EV 证书由 Web 浏览器上的挂锁或绿色地址栏表示。
关于 SSL 含义的最终想法
SSL 的含义或定义归结为声明身份并使安全数据交换成为可能。它通过在传输过程中保护企业和消费者之间的数据传输来保护企业和消费者。
根据Statistica 的数据,2019 年全球零售电子商务销售额达到 3.53 万亿美元。这家市场和消费者数据巨头还预测,到 2022 年,电子商务收入将超过 6.5 万亿美元。由于在线花费的金额如此之大,很容易理解为什么骗子不断想方设法窃取它。除了用户花的钱,还有用户在网上进行的天文数字转账……更不用说每秒钟在互联网上传播的所有有价值的数据。
其中任何一项都是保护您的网站和客户敏感数据的令人信服的理由。这就是为什么在您的网站上使用 SSL/TLS 证书以使用 SSL (TLS) 安全协议对于确保您的网站促进互联网上安全、加密的通信至关重要。使用 SSL/TLS 证书和协议,您的通信在 MitM(中间人)攻击中受到损害的可能性几乎为零。
领取优惠
提交成功!