• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

SSL采购季:企业如何选择最佳的SSL

安全经验 网络收集 2年前 (2016-12-24) 281次浏览

如果你的企业有意采购 SSL,那么本文可以给一个很好的方向。在本文中,我们将先简要介绍 SSL 定义及其工作原理,并探讨目前各种可用的 SSL 证书类型以及企业如何选择最佳的 SSL。

SSL 采购季:企业如何选择最佳的 SSL

SSL 定义

SSL 及传输层安全协议(TLS)是在服务器和互联网客户端之间创建加密链接的安全协议,通常是在 Web 服务器和 Web 浏览器之间。它们还用在电子邮件服务器及其客户端之间。加密链接可保护服务器和客户端之间传输的数据(例如登录凭证和信用卡号码),防止窃听、中间人攻击以及类似威胁。

虽然创建加密链接的工具仍然被称为 SSL 加密工具,但由于漏洞问题,SSL 及早期版本的 TLS 已不再被认为是安全的协议。现在最佳 SSL 做法会采用 TLS 1.2(或更高版本),这是目前用于创建安全加密链接的标准技术。

SSL 工作原理

为了创建安全连接,服务器和浏览器需要证书颁发机构(CA)向企业颁发 SSL 证书。CA 是可信的第三方,其证书会验证企业的身份是否已经认证。(尽管任何人都可以创建证书,但 Web 浏览器面对证书时会检查其受信任的 CA 列表;为避免安全相关的错误消息,证书必须来自受信任的 CA。)SSL 证书包含企业机构的名称、域名、物理地址以及证书的过期日期,还有有关 CA 本身的信息。

为了开启这一过程,管理员必须激活 Web 服务器的 SSL/TLS,创建一个证书签名请求(CSR)文件,并填写该证书所需要的企业信息。这个时候,服务器会创建两个加密密钥:私钥和公钥。公钥包含在 CSR 文件中,其中会将企业的信息关联到该密钥,然后管理员会发送完整文件给 CA,CA 验证文件中的信息并发布 SSL 证书。接着,接收 Web 服务器会将证书与私钥进行比较。(CA 没有对私钥的访问权限;只有请求 SSL 证书的企业持有私钥。)

请注意,为了获得最高水平的安全性,企业应该至少使用 2048 位私钥:小位数的密钥已经被破解。现在很多企业都选择 4096 位密钥,但需要注意的是,现在有些智能卡和读卡器还不支持超过 2048 位的密钥。

使用 SSL 证书可在服务器和浏览器之间建立信任关系,而建立信任的过程涉及交换身份信息、SSL 证书和密钥,这被称为 SSL 握手。当 Web 浏览器请求连接到 Web 服务器上的安全网页时(通过在浏览器的地址栏输入地址),服务器会发送 SSL 证书的副本和公钥到浏览器。然后,浏览器会针对其信任 CA 列表来检查该证书,以验证该证书是来自可信方,验证证书的有效性(有没有过期)以及证书正在被对应的网站在使用。如果浏览器信任证书,它会发送消息回 Web 服务器,服务器会返回确认来启动 SSL 加密会话,这意味着用户可通过这个连接安全地发送机密信息。

Web 浏览器会在浏览器中显示挂锁服务,并在地址栏使用 https,让用户知道,该网站连接已加密且很安全。绿色地址栏表明扩展验证 SSL 证书,我们将在下一章节里进行介绍。有些网站还会显示来自 CA 的安全封条(标识)。

常见 SSL 证书类型

在购买 SSL 时,企业有很多问题需要考虑。为了选出最佳 SSL,他们首先必须选择可靠的证书提供商。国外一些商业供应商包括 Comodo、赛门铁克、Thawte、DigiCert、Entrust、GoDaddy、GlobalSign、Verizon、Trustwave 以及 GeoTrust,也有很多其他供应商。选择可靠的 CA 可确保企业的公钥和 SSL 证书会有效保护客户端和服务器之间传输的数据,同时,当用户访问网站并看到已知实体的 SSL 封条时,可能会想到品牌声誉和安全性。

三种常见证书类型是单名 SSL 证书、通配证书以及多域名证书。单名证书适用于单个域名或服务器,它很适合只需要保护一个域名或网站的企业;通配证书适用于域名及其一级子域;多域名证书让企业可使用单个证书保护多个域名和网站。选择正确证书类型完全取决于企业的网络环境。

验证又是另一回事。在验证过程中,CA 在发布 SSL 证书前会验证申请人的信息。典型的验证是域名验证(DV)、机构验证(OV)和扩展验证(EV)。DV 证书只会检查域名注册表,因此不能保证网站为合法。出于这个原因,DV 证书不适用于商业用途。OV 证书可证明企业已被验证且是合法的,而 EV 证书则提供最高水平的网站验证和身份保证。对于 EV SSL 证书,CA 会执行最彻底的信息检查,包括法律和业务历史、身份验证、域名控制等。这种类型的 SSL 证书通常比 DV 和 OV 更昂贵,主要由领先的企业使用。

如何选购最佳 SSL?

为了选择最佳 SSL,应该选择至少提供 128 位保护的供应商。现在,40 位强度已被认为很弱,而 112 位密码(例如 3DES)则会很慢,并已不再广泛使用。理想情况下,最好使用 256 位保护,每增强一倍意味着可更好地抵御大多数攻击类型。

还应该考虑供应商的客户支持及保证。与几年前相比,现在部署 SSL 更容易,但它仍然必须安装以及得到妥善管理才会有效。请确定你选择的供应商是否提供全年无休的支持,以及优先升级,是否需要付费扩展支持等。此外,还应该确保当客户因为发行不当的 SSL 证书而遭遇欺诈活动时,供应商会进行相应的赔偿。

总结

所有收集或传输敏感信息的网站都必须部署最佳 SSL 来提供保护,如果不这样做,很可能会遭致法律诉讼以及惩罚。同样地,声誉受损也可能会影响到未来业务。

转载请注明:安全专题


    Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
    转载请注明原文链接:SSL 采购季:企业如何选择最佳的 SSL
    喜欢 (0)