如果你的企業(yè)有意采購SSL，那么本文可以給一個很好的方向。在本文中，我們將先簡要介紹SSL定義及其工作原理，并探討目前各種可用的SSL證書類型以及企業(yè)如何選擇最佳的SSL。

[[166124]]

SSL定義

SSL及傳輸層安全協(xié)議(TLS)是在服務器和互聯(lián)網(wǎng)客戶端之間創(chuàng)建加密鏈接的安全協(xié)議，通常是在Web服務器和Web瀏覽器之間。它們還用在電子郵件服務器及其客戶端之間。加密鏈接可保護服務器和客戶端之間傳輸?shù)臄?shù)據(jù)(例如登錄憑證和信用卡號碼)，防止竊聽、中間人攻擊以及類似威脅。

雖然創(chuàng)建加密鏈接的工具仍然被稱為SSL加密工具，但由于漏洞問題，SSL及早期版本的TLS已不再被認為是安全的協(xié)議?，F(xiàn)在最佳SSL做法會采用TLS 1.2(或更高版本)，這是目前用于創(chuàng)建安全加密鏈接的標準技術(shù)。

SSL工作原理

為了創(chuàng)建安全連接，服務器和瀏覽器需要證書頒發(fā)機構(gòu)(CA)向企業(yè)頒發(fā)SSL證書。CA是可信的第三方，其證書會驗證企業(yè)的身份是否已經(jīng)認證。(盡管任何人都可以創(chuàng)建證書，但Web瀏覽器面對證書時會檢查其受信任的CA列表;為避免安全相關(guān)的錯誤消息，證書必須來自受信任的CA。)SSL證書包含企業(yè)機構(gòu)的名稱、域名、物理地址以及證書的過期日期，還有有關(guān)CA本身的信息。

為了開啟這一過程，管理員必須激活Web服務器的SSL/TLS，創(chuàng)建一個證書簽名請求(CSR)文件，并填寫該證書所需要的企業(yè)信息。這個時候，服務器會創(chuàng)建兩個加密密鑰：私鑰和公鑰。公鑰包含在CSR文件中，其中會將企業(yè)的信息關(guān)聯(lián)到該密鑰，然后管理員會發(fā)送完整文件給CA，CA驗證文件中的信息并發(fā)布SSL證書。接著，接收Web服務器會將證書與私鑰進行比較。(CA沒有對私鑰的訪問權(quán)限;只有請求SSL證書的企業(yè)持有私鑰。)

請注意，為了獲得最高水平的安全性，企業(yè)應該至少使用2048位私鑰：小位數(shù)的密鑰已經(jīng)被破解?，F(xiàn)在很多企業(yè)都選擇4096位密鑰，但需要注意的是，現(xiàn)在有些智能卡和讀卡器還不支持超過2048位的密鑰。

使用SSL證書可在服務器和瀏覽器之間建立信任關(guān)系，而建立信任的過程涉及交換身份信息、SSL證書和密鑰，這被稱為SSL握手。當Web瀏覽器請求連接到Web服務器上的安全網(wǎng)頁時(通過在瀏覽器的地址欄輸入地址)，服務器會發(fā)送SSL證書的副本和公鑰到瀏覽器。然后，瀏覽器會針對其信任CA列表來檢查該證書，以驗證該證書是來自可信方，驗證證書的有效性(有沒有過期)以及證書正在被對應的網(wǎng)站在使用。如果瀏覽器信任證書，它會發(fā)送消息回Web服務器，服務器會返回確認來啟動SSL加密會話，這意味著用戶可通過這個連接安全地發(fā)送機密信息。

Web瀏覽器會在瀏覽器中顯示掛鎖服務，并在地址欄使用https，讓用戶知道，該網(wǎng)站連接已加密且很安全。綠色地址欄表明擴展驗證SSL證書，我們將在下一章節(jié)里進行介紹。有些網(wǎng)站還會顯示來自CA的安全封條(標識)。

常見SSL證書類型

在購買SSL時，企業(yè)有很多問題需要考慮。為了選出最佳SSL，他們首先必須選擇可靠的證書提供商。國外一些商業(yè)供應商包括Comodo、賽門鐵克、Thawte、DigiCert、Entrust、GoDaddy、GlobalSign、Verizon、Trustwave以及GeoTrust，也有很多其他供應商。選擇可靠的CA可確保企業(yè)的公鑰和SSL證書會有效保護客戶端和服務器之間傳輸?shù)臄?shù)據(jù)，同時，當用戶訪問網(wǎng)站并看到已知實體的SSL封條時，可能會想到品牌聲譽和安全性。

三種常見證書類型是單名SSL證書、通配證書以及多域名證書。單名證書適用于單個域名或服務器，它很適合只需要保護一個域名或網(wǎng)站的企業(yè);通配證書適用于域名及其一級子域;多域名證書讓企業(yè)可使用單個證書保護多個域名和網(wǎng)站。選擇正確證書類型完全取決于企業(yè)的網(wǎng)絡環(huán)境。

驗證又是另一回事。在驗證過程中，CA在發(fā)布SSL證書前會驗證申請人的信息。典型的驗證是域名驗證(DV)、機構(gòu)驗證(OV)和擴展驗證(EV)。DV證書只會檢查域名注冊表，因此不能保證網(wǎng)站為合法。出于這個原因，DV證書不適用于商業(yè)用途。OV證書可證明企業(yè)已被驗證且是合法的，而EV證書則提供最高水平的網(wǎng)站驗證和身份保證。對于EV SSL證書，CA會執(zhí)行最徹底的信息檢查，包括法律和業(yè)務歷史、身份驗證、域名控制等。這種類型的SSL證書通常比DV和OV更昂貴，主要由領(lǐng)先的企業(yè)使用。

如何選購最佳SSL?

為了選擇最佳SSL，應該選擇至少提供128位保護的供應商?，F(xiàn)在，40位強度已被認為很弱，而112位密碼(例如3DES)則會很慢，并已不再廣泛使用。理想情況下，最好使用256位保護，每增強一倍意味著可更好地抵御大多數(shù)攻擊類型。

還應該考慮供應商的客戶支持及保證。與幾年前相比，現(xiàn)在部署SSL更容易，但它仍然必須安裝以及得到妥善管理才會有效。請確定你選擇的供應商是否提供全年無休的支持，以及優(yōu)先升級，是否需要付費擴展支持等。此外，還應該確保當客戶因為發(fā)行不當?shù)腟SL證書而遭遇欺詐活動時，供應商會進行相應的賠償。

總結(jié)

所有收集或傳輸敏感信息的網(wǎng)站都必須部署最佳SSL來提供保護，如果不這樣做，很可能會遭致法律訴訟以及懲罰。同樣地，聲譽受損也可能會影響到未來業(yè)務。