隨著互聯(lián)網(wǎng)的日益發(fā)展,對于用戶共享的關(guān)鍵數(shù)據(jù)的威脅已經(jīng)產(chǎn)生了嚴重的后果,人們在網(wǎng)絡(luò)上交換地址、電話號碼、信用卡號、企業(yè)機密等各種信息,網(wǎng)絡(luò)上的惡意破壞者始終都在伺機窺探,企圖竊取這些重要的信息。隨著國家不斷地宣傳和普法,越來越多的人對于數(shù)據(jù)安全意識也在成倍地增長,如果您是網(wǎng)站所有者,那么保護您的用戶的隱私信息和敏感數(shù)據(jù)避免受到網(wǎng)絡(luò)犯罪分子的惡意攻擊就成為您不可推卸的責(zé)任了。
那么,此時就體現(xiàn)了SSL證書的重要性,接下來請跟我一起由淺入深、抽絲剝繭,慢慢地揭開SSl的神秘面紗,了解一下SSL是什么?又是如何保護數(shù)據(jù)安全的?
什么是SSL?
SSL(Secure Socket Layer,安全套階層)是一種保護傳輸數(shù)據(jù)不受網(wǎng)絡(luò)不法侵害的協(xié)議,SSL證書是證書頒發(fā)機構(gòu)頒發(fā)給網(wǎng)站的數(shù)字證書,確保用戶的網(wǎng)絡(luò)瀏覽器和網(wǎng)絡(luò)服務(wù)器之間交換的所有信息都是加密的。當您提交任何敏感信息時,SSL會對您的數(shù)據(jù)進行加密,保護您的數(shù)據(jù)免遭惡意竊取或破壞數(shù)據(jù)的企圖,例如竊聽、中間人攻擊等。
SSL如何保護用戶數(shù)據(jù)和隱私?
SSL是為了保護數(shù)據(jù)不受惡意破壞者侵害而出現(xiàn)的。人們用SSL將客戶端和服務(wù)器之間的數(shù)據(jù)加密并進行認證,以此來保護重要的數(shù)據(jù)。大家在上網(wǎng)時都可以看到,Web瀏覽器的網(wǎng)址顯示為“https:”的形式,前面有一把上鎖的標記。這表示該網(wǎng)頁已被SSL加密,數(shù)據(jù)是非常安全的,不會外泄。HTTPS是HTTP over SSL的簡稱,是指對HTTP做了SSL處理。
在未安裝SSL證書時,用戶和服務(wù)器之間的信息傳輸是明文的,容易被外界截取,而且對最終用戶來說,他們在瀏覽服務(wù)器時,并不知道這個服務(wù)器、網(wǎng)頁是否真的存在,且如果存在,信息是否真實可信。
部署SSL證書后,可以通過驗證HTTPS中的SSL證書信息,確認網(wǎng)站的真實身份,增強用戶識別正確網(wǎng)站信息,避免用戶點擊了假冒網(wǎng)站而上當受騙、通過SSL加密層,也可以對傳輸?shù)臄?shù)據(jù)進行加密和解密,確保數(shù)據(jù)在傳輸過程中的安全,保障數(shù)據(jù)的機密性和完整性。
目前,對網(wǎng)站進行HTTPS加密部署SSL證書是最有效的網(wǎng)絡(luò)安全保護,相較于傳統(tǒng)的HTTP明文協(xié)議,HTTPS協(xié)議可以確保傳輸數(shù)據(jù)的完整性和機密性,建立一條從用戶端到網(wǎng)站服務(wù)器端的加密傳輸通道,通過三次握手協(xié)議,確保用戶的傳輸信息不被第三方竊取或篡改。
SSL在保護數(shù)據(jù)免受侵害的過程中運用了哪些技術(shù)?
互聯(lián)網(wǎng)在給我們的生活帶來方便的同時,也無形中形成了一個充滿危險的虛擬世界,其中的三大危害就是竊聽、篡改和冒充。此時,SSL就能夠保護數(shù)據(jù)免受侵害,接下來,我們就來看看,它分別都運用了哪些技術(shù)去抵御這些侵害。
(1)用加密技術(shù)防止竊聽
竊聽應(yīng)該是最容易理解的一種侵害。重要數(shù)據(jù)如果不加任何處理就公開交互,那么即使不是惡意破壞者的普通人也會對其中的內(nèi)容產(chǎn)生好奇吧。SSL將客戶端和服務(wù)器之間的通信加密,這樣,即使外人竊聽到這些信息,也無從獲悉其中的具體內(nèi)容。
(2)用消息摘要技術(shù)檢測數(shù)據(jù)是否被篡改過
篡改是指數(shù)據(jù)在傳輸途中被擅自改寫的一種侵害。假設(shè)我們在網(wǎng)上訂購了商品,但是如果送貨地址被惡意破壞者改成了他自己的地址,我們就無法收到該商品了。SSL將根據(jù)數(shù)據(jù)計算出的信息摘要(MD值)和數(shù)據(jù)本身一起發(fā)送,以此來檢查數(shù)據(jù)是否被篡改過。節(jié)點收到它們之后,將根據(jù)數(shù)據(jù)計算出的信息摘要和添加的信息摘要進行比較,看二者是否一致。由于是對同一數(shù)據(jù)進行同樣的計算,如果哈希值一樣就說明數(shù)據(jù)并未被篡改。
(3)用數(shù)字證書技術(shù)識破冒充者
冒充是假扮成通信對象的一種侵害。數(shù)據(jù)發(fā)送方并不知道對方是否真的是自己想要發(fā)送數(shù)據(jù)的對象,通信可能在不知不覺中就被惡意破壞者劫持,而且這些惡意破壞者還可能冒充本應(yīng)收到數(shù)據(jù)的一方。所以,如果不采取任何防范措施,就相當于把重要的數(shù)據(jù)親自交到壞人手上。因此SSL會利用數(shù)字證書去確認對方的身份,其工作原理是,在發(fā)送數(shù)據(jù)之前要求對方提供自身的信息,然后根據(jù)對方發(fā)過來的數(shù)字證書驗明正身。
SSL證書有三種類型:
DV SSL證書:指只驗證網(wǎng)站域名所有權(quán)的簡易型SSL證書,此類證書僅能起到網(wǎng)站機密信息加密的作用,無法向用戶證明網(wǎng)站的真實身份。
OV SSL證書是Organization Validation SSL的縮寫,指需要驗證網(wǎng)站所有單位的真實身份的標準型SSL證書,不僅能起到網(wǎng)站機密信息加密的作用,而且能向用戶證明網(wǎng)站的真實身份。
EV SSL是Extended Validation SSL的縮寫,指遵循全球統(tǒng)一的嚴格身份驗證標準頒發(fā)的SSL證書,是目前業(yè)界最高安全級別的SSL證書。
我們一般常用的正式是DV SSL證書和OV SSL證書,因為這兩種申請起來相對比較簡單快捷。但是這也是他們的弊端,DV SSL證書僅適合于個人網(wǎng)站或非電子商務(wù)網(wǎng)站,由于此類只驗證域名所有權(quán)的低端SSL證書不需要驗證已經(jīng)被國外各種欺詐網(wǎng)站濫用。如果你擔(dān)心證書不夠安全或者濫用在欺詐上,在SSL證書中有一種特殊的操作,是可以綁定給SSL證書綁定IP地址。這樣在SSL證書可溯源的情況下,便可預(yù)防欺詐。
如何給DVSSL證書和OVSSL證書綁定IP地址?
DVSSL證書:
這種證書只需要驗證IP地址的管理權(quán)限。同時支持多個IP綁定在一起,頒發(fā)只需要30分鐘左右。
OVSSL證書:
這種證書企業(yè)等單位性質(zhì)的證書,除了驗證IP的管理權(quán)限之外,還需要驗證企業(yè)的身份。當然得到的證書和上面的DVSSL也是不一樣的,頒發(fā)需要1-3工作日。
同時公網(wǎng)IP地址作為互聯(lián)網(wǎng)入口,使用場景非常地多。只要有互聯(lián)網(wǎng),就需要IP地址。那么IP地址的安全又要如何保護?例如WEB網(wǎng)站建設(shè),IP地址通常采取的是明文HTTP傳輸協(xié)議,這非常不安全,會導(dǎo)致傳輸協(xié)議過程中的數(shù)據(jù)泄露或者劫持。假如我們的IP地址綁定了SSL證書,此IP地址就會被加密。
所以給證書綁定IP地址可以遏制SSL證書的濫用,同時也相當于給IP地址裝上了一層保護傘。
不知道大家在使用的時候SSL證書是,是否遇到過此SSL信息不受網(wǎng)站信任的提示,這時需要我們進行信任授權(quán)。而綁定了IP地址的SSL證書就不會出現(xiàn)不受信任的情況。
SSL證書綁定IP地址,是一個雙贏的局面。既可以保證IP地址的安全,也可以加強SSL證書的可溯源性,有效防止SSL證書的濫用與欺詐。因為我們可以通過此SSL的IP地址準確找到是誰在使用,對于非法SSL證書的溯源更精準有效。
結(jié)論:
SSL簡單的三個英文字母縮寫,卻包含著非常多的工作原理和技術(shù),要想徹底看清其廬山真面目,還需要不斷地研究、突破,才能將它發(fā)揮到其應(yīng)有的價值,應(yīng)用好SSL,才能不讓您的用戶信息“裸奔”。
