Skip to content

SSL and CA

Jump to bottom Edit New page
chixq edited this page Nov 7, 2014 · 5 revisions

  1. SSL 是一种加密技术,最早由Netscape公司提出,后来公开的版本为SSL v3.0。

  2. TLS 是SSL后续技术,或称SSL v3.1, TLS v1.1 == SSL v3.2, TLS v1.2 == SSL v3.3。

  3. SSLoverHTTP(HTTPs) 主要是防止 eavesdropping(窃听), data tampering(篡改), or message forgery(伪造)。

  4. RSA 是推荐和主流的SSL加密方式,如果Public Key足够长(2048位),一般计算系统是无法攻破的,量子,大规模集群除外。

  5. DES, DH也是SSL加密方式。

  6. 确保服务器和客户端通过HTTPs通信,需要在服务器安装证书(certificate),证书分为Self-signed和Trusted Certificate Authority Issued (CA)。

  1. CA Issue 过程简单来说:
    1. 自己通过keytool(java)或 openssl工具生成Keypair,以Openssl举例,会生成一个.csr(公钥req),一个.key(私钥)。
    1. 把.csr(公钥req)提交给CA,等待CA认证。
    1. 只要能证明域名是自己的,不涉及违法,政府和phising等,CA会很快通过,并给你一个证书(.pem),证书包含公钥和CA认证信息等。
    1. Server只需要按照不同的容器(Tomcat,Nginx)安装证书和私钥。

  1. 最先的CA Certificate 只对独立域名生效,例如 a.mydomain.com 和 b.mydomain.com必须是两个不同的证书,这是由SSL算法决定的,具体检索Session ID相关。

  2. 现在一般签证书都会签Wildcard证书,即*.mydomain.com共享同一个证书,当然价格也会贵一些。

  3. CA 机构又很多,主流的Verisign,Digicert,Godaddy,购买证书价格也不同,比如最贵的是Verisign,单从本质上来说,加密效果是一样的,Verisign只是做的比较早,认可度高。

  4. 但是有些新兴的CA,OS和浏览器并不(来得及)认可,所以会导致浏览器告警,要注意。这里有个Custom Reviews Charts,根据网站的描述,可信度还是很高的。

  5. 近两年来,推出了EV Certificate (Extended Validation), 这种证书由一些浏览器和一些CA机构共同推出,旨在给CA Custom提供更高的安全体验,并且给用户带来更多的信用效益。 其实说白了,就是安装这种证书的网站,浏览器会展示一个绿条,非常抢眼和直观,如下图,但是并没有提高加密,感觉是浏览器和CA合作圈钱。目前部署了EV Certificate都是财主,Microsoft这样,或者特别强调安全的公司,Paypal等。

EV Certificate

Home | Tech Blog | Twitter @chisexna | Copyright © 2014-2014 Geeks Coffee Ltd

Add a custom sidebar
Clone this wiki locally