SSL/TLS证书的作用与分类

SSL/TLS证书的主要用途

一、确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,OV,EV SSL证书帮助你识别网站真实身份。

二、保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,SSL证书采用HTTPS协议,保证浏览器到服务器直接数据传输加密。

SSL/TLS证书分类

从证书认证的等级来分,SSL/TLS证书可以分为DV, OV和EV三种:

1、DV是Domain Validation 的缩写,意思就是对网站域名所有权进行验证。CA认证机构会向域名持有者的邮箱发送相应的邮件,以确认证书和域名的所有权关系。其特点是简单快捷,价格便宜,缺点是无法保证网站经营者的身份,因此一般仅用来提供数据加密的功能,属于Class 1验证的证书。无论新老客户购买 COMODO DV SSL证书都可以使用优惠码: K56TY9UV0D  ,先到先得,数量有限,快来易维信购买SSL证书 https://shop.evtrust.com  。

2、OV是Organization Validation 的缩写,这种证书在颁发的时候会对网站所有单位的身份和域名的所有权进行证实行验证,所以一般电子商务类的网站往往会做OV的认证。价格当然也会比较昂贵,证书颁发周期也会比较久,属于Class 2或者Class 3 验证的证书。

3、EV是Extended Validation 的缩写,也是最严格的身份验证,此证书审核证书申请人对域名的所有权,以及详细的企业/组织相关信息审核,当用户在访问通过EV认证的网站时候,浏览器的显示为绿色,当然价格也是相当的昂贵,属于Class 4 验证的证书。

 

 

 

 

 

购买便宜的 SSL 证书

购买便宜的 SSL 证书

网上有不少廉价甚至免费的 SSL 证书服务商,而国内比较方便快捷、能提供发票和支持服务的应该是通过 https://shop.evtrust.com购买 Comodo Positive SSL 和 RapidSSL,一般在 10 来分钟之内就能完成。下面是购买的详细步骤:

1、首先确定你 Web Server 的类型

一般来说,除了 Java Tomcat Web Server 之外的其他 Web Server(比如 Apache Httpd)都是使用 OpenSSL 实现其加密层的,所以在购买证书时先选定你的 Web Server 加密程序为 OpenSSL。(注:Tomcat 结合 APR 使用的话也是用 OpenSSL 的.

2、生成私钥和签名请求文件

使用如下命令可以产生一个私钥以及一个签名请求文件

$ openssl req -nodes -newkey rsa:2048 -keyout my.key -out my-request.csr

这条命令的 rsa:2048 用于指定加密算法的名称以及密钥的长度,最终生成的 my.key 为私钥(要保管好)和一个签名请求文件。

运行这个命令时会询问关你的网站的信息,如果是个人网站,那么大部分资料都是可以随便填的,只要 “Common Name” 这一项准确填写你的域名即可,比如 abc.com,注意不用加 www 前缀,易维信代理销售的 SSL 证书会自动额外签名你的 www 二级域名,即付一份价钱,可以同时保护2个域名 abc.com 和 www.abc.com。

3、检查一下你域名登记的 email 地址

因为证书颁发机构(CA)会验证你的域名,而验证方法则是发送一封 email 到你域名注册时所填写的域名注册者的 email 地址,如果邮箱地址不可用,可以联系域名注册商更新,或者用FTP的方式来验证您的域名。

4、把签名请求文件发送给证书服务商

根据购买流程当中的指引,把第 2 步产生的 my-request.csr 发送给易维信,也可以通过易维信商店提交。大概等十几分钟(也有时要几个小时)服务商会发送一封 email 给你,一般来说里面包含一个验证码,把这个验证码输入购买流程的页面当中就完成域名验证了。

5、获取签名证书

上一步完成之后,大概再等几分钟,你就会收到一封邮件(或者出现在购买流程当中),里面包含有你的证书和证书链。具体来说可能会有这 3 个证书文件:

  • yourDomainName.crt
  • PositiveSSLCA2.crt
  • AddTrustExternalCARoot.crt
  • 一般来说我们要把后两者合并为一个文件,用记事本打开然后复制粘贴形成一个新文件即可,需要注意 *Root.crt 这个文件的内容要放在最后,对于 linux 系统用户,用这行搞定:

$ cat PositiveSSLCA2.crt AddTrustExternalCARoot.crt > yourDomainName.ca-bundle.crt

6、使用证书

这里以 Apache Httpd 为例,一般的设置如下:

SSLEngine on

SSLCertificateKeyFile /etc/ssl/ssl.key/my.key

SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt

SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

如果你的 apache 配置了多个虚拟主机,则配置如下:

# make sure add these lines in somewhere else

#NameVirtualHost *:80

#NameVirtualHost *:443

 

<VirtualHost *:80>

ServerName www.your-domain.com

DocumentRoot /var/www/your-domain

ServerAlias your-domain.com

<VirtualHost>

<VirtualHost *:443>

SSLEngine on

SSLCertificateKeyFile /etc/ssl/ssl.key/my.key

SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt

SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

ServerName www.your-domain.com

DocumentRoot /var/www/your-domain

ServerName your-domain.com

<VirtualHost>

对于使用了 APR 的 Tomcat 服务器,配置如下:

<Connector port=”443″ protocol=”HTTP/1.1″

address=”198.74.59.36″

SSLEnabled=”true”

scheme=”https” secure=”true”

enableLookups=”false”

SSLCertificateFile=”/etc/ssl/my/yourDomainName.crt”

SSLCertificateChainFile=”/etc/ssl/my/yourDomainName.ca-bundle.crt”

SSLCertificateKeyFile=”/etc/ssl/my/my.key”/>

7、补:SSL 证书的格式转换

如果你已经根据上面的流程购买了一个 SSL 证书,而碰巧使用的时候要求是 Java Keystore 格式,那么需要将 OpenSSL 的证书转换一下:

首先将密钥和证书转为 pkcs12 格式:

$ openssl pkcs12 -export -in yourDomainName.crt -inkey my.key > my.p12

然后将 pkcs12 格式转换为 Java keystore 格式:

$ keytool -importkeystore -srckeystore my.p12 -destkeystore my.jks -srcstoretype pkcs12

 

使用自签SSL证书有什么风险?

所谓自签SSL证书,就是用户或未获得国际认证的机构,使用工具自己签发的SSL证书。自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器和操作系统信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多网站为了节约成本,采用自签名SSL证书,其实是给自己的网站埋下了一颗定时炸弹,随时可能被黑客利用。

网站使用自签SSL证书存在极大的风险,主要来自以下几个方面:

自签SSL证书最容易被假冒和伪造,被欺诈网站利用

自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站!

而权威CA机构受国际标准组织审计监督,不可随意签发证书,必须严格认证申请者身份才能签发全球唯一的证书,不会出现被伪造的问题。

部署自签SSL证书的网站,浏览器会持续弹出警告

自签SSL证书是不受浏览器信任的,用户访问部署了自签SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。

自签SSL证书最容易受到SSL中间人攻击

用户访问部署了自签SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。

典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。当网站被假的SSL证书替换时,浏览器会警告用户此证书不受信任,需要用户确认是否信任此证书,用户习惯性点击“继续浏览”,中间人攻击轻而易举的实现了。

为了让所有用户享受更安全互联网环境,我们建议所有网站都不要再部署自签的SSL证书,推荐购买COMODO SSL证书,性价比高,点击购买 https://shop.evtrust.com