Kio estas la diferenco inter http kaj https? Detala klarigo pri SSL-ĉifrada procezo

Kun la rapida disvolviĝo de la Interreto, iuj homoj faras tion, kion ili volasWechat-merkatado,Promocio pri publika konto, sed plendasInterreta Merkatadone funkcias, faktenovaj amaskomunikilojLa plej bona maniero por homoj fari Interretan merkatadon estas per serĉilojdrenadola kvanto.

Tial serĉiloj estas la plej popularaj nuntempeReteja Promociounu el la manieroj.

Plie, la serĉiloj Google kaj Baidu publike deklaris, ke https estas inkluzivita en la serĉilo-ranking mekanismo.

precipeRetkomercoPor retejoj, oni rekomendas uzi la https-ĉifradan protokolon, kiu ne nur helpas plibonigi rangotabelojn, sed ankaŭ helpas uzantojn sperti la retejon sekure.

Hiperteksta Transiga Protokolo HTTP-protokolo estas uzata por transdoni informojn inter TTT-legilo kaj TTT-servilo. HTTP-protokolo sendas enhavon en klara teksto kaj ne provizas ajnan formon de datuma ĉifrado. Se atakanto interkaptas la konekton inter TTT-legilo kaj TTT-servilo Tial, la HTTP. protokolo ne taŭgas por transdoni iujn sentivajn informojn, kiel nombron de kreditkarto, pasvorton kaj aliajn pagajn informojn.

Por solvi ĉi tiun difekton de la HTTP-protokolo, necesas uzi alian protokolon: la sekura sockettavola hiperteksta transiga protokolo HTTPS Por la sekureco de transdono de datumoj, HTTPS aldonas la SSL-protokolon al HTTP, kaj SSL dependas de atestiloj por kontroli la transdonon de datumoj. servilo. , kaj ĉifri la komunikadon inter la retumilo kaj la servilo.

XNUMX. Bazaj konceptoj de HTTP kaj HTTPS

HTTP: estas la plej uzata retprotokolo en la Interreto.Ĝi estas klientflanka kaj servila peto kaj respondnormo (TCP), kiu estas uzata por transdoni hipertekston de WWW-servilo al loka retumilo.La servilo estas pli efika, rezultigante malpli da retaj translokigoj.

HTTPS: Ĝi estas sekura HTTP-kanalo. Mallonge, ĝi estas sekura versio de HTTP, tio estas, aldonanta SSL-tavolon al HTTP. La sekureca fundamento de HTTPS estas SSL, do la detala enhavo de ĉifrado postulas SSL.

La ĉefaj funkcioj de la HTTPS-protokolo povas esti dividitaj en du tipojn: unu estas establi informan sekureckanalon por certigi la sekurecon de transdono de datumoj; la alia estas konfirmi la aŭtentikecon de la retejo.

XNUMX. Kio estas la diferenco inter HTTP kaj HTTPS?

La datumoj transdonitaj de la HTTP-protokolo estas neĉifritaj, tio estas, en klarteksto. Tial estas tre nesekura uzi la HTTP-protokolon por transdoni privatajn informojn. Por certigi, ke ĉi tiuj privataj datumoj povas esti ĉifritaj kaj transdonitaj, Netscape desegnis la SSL. (Secure Sockets Layer) protokolo por HTTPS naskiĝis por ĉifri la datumojn transdonitajn per la HTTP-protokolo.

Simple dirite, la HTTPS-protokolo estas reto-protokolo konstruita per la SSL+HTTP-protokolo, kiu povas plenumi ĉifritan dissendon kaj identecaŭtentikigon, kaj estas pli sekura ol la http-protokolo.

La ĉefaj diferencoj inter HTTPS kaj HTTP estas jenaj:

• 1. La https-protokolo bezonas iri al la ca por peti atestilon.Ĝenerale estas malmultaj senpagaj atestiloj, do necesas certa kotizo.
• 2. http estas hiperteksta transiga protokolo, informoj estas transdonitaj en klarteksto, kaj https estas sekura ssl ĉifrita transiga protokolo.
• 3. http kaj https uzas tute malsamajn konektometodojn kaj malsamajn havenojn.La unua estas 80 kaj la dua estas 443.
• 4. La konekto de http estas tre simpla kaj sennacia, la HTTPS-protokolo estas reto-protokolo konstruita per la SSL+HTTP-protokolo, kiu povas plenumi ĉifritan transdonon kaj identecaŭtentikigon, kiu estas pli sekura ol la http-protokolo.

XNUMX. Detala klarigo de HTTPS kaj SSL-ĉifrada procezo

Ni ĉiuj scias, ke HTTPS povas ĉifri informojn por malhelpi sentemajn informojn akiri de triaj, do multaj bankaj retejoj aŭ retpoŝtoj kaj aliaj servoj kun altaj sekurecaj niveloj uzos la HTTPS-protokolon.

1. La kliento iniciatas HTTPS-peton

Ĉi tio estas nenio por diri, tio estas, ke la uzanto enigas https URL en la retumilo, kaj poste konektas al la pordo 443 de la servilo.

2. Servila agordo

La servilo uzanta la HTTPS-protokolon devas havi aron da ciferecaj atestiloj, kiujn vi povas fari aŭ apliki al la organizo.La diferenco estas, ke la atestilo eldonita de vi mem devas esti kontrolita de la kliento antaŭ ol vi povas daŭrigi aliri, dum la atestilo aplikata de fidinda kompanio ne. Aperiĝos prompta paĝo.

Ĉi tiu aro da atestiloj estas fakte paro de publika ŝlosilo kaj privata ŝlosilo. Se vi ne komprenas la publikan ŝlosilon kaj privatan ŝlosilon, vi povas imagi ĝin kiel ŝlosilon kaj seruro, sed vi estas la sola persono en la mondo kiu havas ĉi tiun ŝlosilon. Vi povas ŝlosi la seruron. Donu ĝin al aliaj, aliaj povas uzi ĉi tiun ŝlosilon por ŝlosi gravajn aferojn, kaj poste sendi ĝin al vi, ĉar nur vi havas ĉi tiun ŝlosilon, do nur vi povas vidi la aferojn ŝlositajn de ĉi tiu ŝlosilo.

3. Sendu la atestilon

Ĉi tiu atestilo efektive estas la publika ŝlosilo, sed enhavas multajn informojn, kiel la atestan aŭtoritaton, limtempon, ktp.

4. Kliento analiza atestilo

Ĉi tiu parto de la laboro estas farita de la TLS de la kliento. Unue, ĝi kontrolos ĉu la publika ŝlosilo estas valida, kiel la eldonanta aŭtoritato, eksvalidiĝotempo, ktp. Se trovi escepton, avertanta skatolo aperos, indikante ke estas problemo kun la atestilo.

Se ne estas problemo kun la atestilo, tiam kreu hazardan valoron, kaj tiam ĉifri la hazardan valoron per la atestilo, kiel menciite supre, ŝlosu la hazardan valoron per seruro, tiel ke krom se estas ŝlosilo, vi ne povas vidi la ŝlositan. valora enhavo.

5. Transdono de ĉifrita informo

Ĉi tiu parto transdonas la hazardan valoron ĉifritan kun la atestilo.La celo estas lasi la servilon ricevi ĉi tiun hazardan valoron, kaj tiam la komunikado inter la kliento kaj la servilo povas esti ĉifrita kaj malĉifrita per ĉi tiu hazarda valoro.

6. Serva segmenta malĉifra informo

Post kiam la servilo malĉifris per la privata ŝlosilo, ĝi akiras la hazardan valoron (privata ŝlosilo) sendita de la kliento, kaj poste ĉifras la enhavon simetrie tra la valoro.Tiel, krom se la privata ŝlosilo estas konata, la enhavo ne povas esti akirita, kaj kaj la kliento kaj la servilo konas la privatan ŝlosilon, do tiel longe kiel la ĉifrada algoritmo estas sufiĉe forta kaj la privata ŝlosilo estas sufiĉe kompleksa, la datumoj estas sufiĉe sekuraj.

7. Transdono de ĉifrita informo

Ĉi tiu parto de la informo estas la informo ĉifrita per la privata ŝlosilo de la serva segmento kaj povas esti restarigita ĉe la klientflanko.

8. Klienta malĉifra informo

La kliento malĉifras la informojn senditajn de la serva segmento per la antaŭe generita privata ŝlosilo, kaj tiel akiras la malĉifritan enhavon.Eĉ se la tria monitoras la datumojn dum la tuta procezo, ĝi estas senhelpa.

Kvare, la sinteno de serĉiloj al HTTPS

Baidu lanĉis plenretejan HTTPS ĉifritan serĉservon por solvi la "trian" flaradon kaj forkaptadon de uzantprivateco. Fakte, jam en majo 2010, Guglo komencis disponigi HTTPS ĉifritan serĉservon, rampante HTTPS retpaĝojn. Sur la temo, Baidu deklaris en proklamo en septembro 5 ke "Baidu ne aktive rampos HTTPS-retpaĝojn", dum Google deklaris en la algoritmo ĝisdatigo ke "sub la samaj kondiĉoj, ejoj uzantaj HTTPS-ĉifradteknologion havos pli bonajn serĉrangotabelojn. Avantaĝo".

Do, en ĉi tiu granda medio, ĉu retestroj devus adopti la "riskan" HTTPS-protokolon? HTTPS por serĉilojSEOKio pri la efiko?

1. La sinteno de Guglo

La sinteno de Google al HTTPS-ejoj ne diferencas de sia sinteno al HTTP-ejoj, kaj eĉ prenas "ĉu uzi sekuran ĉifradon" (HTTPS) kiel referencfaktoron en la serĉa ranking algoritmo. Retejoj uzantaj HTTPS-ĉifradan teknologion povas akiri pli bonajn rezultojn. Estas pli da montraj ŝancoj, kaj la rangotabelo ankaŭ estas pli avantaĝa ol HTTP-ejoj de similaj retejoj.

Kaj Guglo klarigis, ke ĝi "esperas, ke ĉiuj retestroj povos uzi la HTTPS-protokolon anstataŭ HTTP", kio montras sian decidon atingi la celon "HTTPS ĉie".

2. La sinteno de Baidu

En la pasinteco, la teknologio de Baidu estis relative postiĝinta, dirante ke "ĝi ne aktive rampos https-paĝojn", sed ĝi ankaŭ "maltrankviliĝis" pri "multaj https-paĝoj ne povas esti inkluzivitaj". Ĝis la 2014-a de septembro 9, Baidu publikigis diskuton pri "Kiel konstrui https-ejojn." Artikolo estis publikigita pri la temo "Amika al Baidu", donante kvar sugestojn kaj specifajn agojn por "plibonigi la Baidu-amikecon de https-ejoj":

1. Faru http alireblajn versiojn por https-paĝoj, kiuj devas esti indeksitaj de Baidu-serĉilo.

2. Juĝu la vizitanton per uzantagento, kaj starigu BaiLa duspider estas direktita al la http-paĝo. Kiam ordinaraj uzantoj vizitas la paĝon per la serĉilo Baidu, ili estos redirektitaj al la responda https-paĝo tra 301.Kiel montrite en la figuro, la supra bildo montras la http-version inkluzivita en Baidu, kaj la malsupra bildo montras, ke uzantoj aŭtomate saltos al la https versio post klakado.

3. La http-versio ne estas nur farita por la hejmpaĝo, ankaŭ aliaj gravaj paĝoj devas esti faritaj kun http-versio kaj ligitaj unu al la alia.Ne faru tion: la ligilo sur la hejmpaĝo http-paĝo ankoraŭ estas ligita al la https paĝo. , kio igas Baiduspider nekapabla plu rampi—— Ni renkontis tian situacion, ke ni povas inkluzivi nur unu hejmpaĝon por la tuta retejo.

4. Iu enhavo, kiu ne bezonas esti ĉifrita, kiel informoj, povas esti portita per la duanivela domajna nomo.ekzempleAlipayLa retejo, la kerno ĉifrita enhavo estas metita sur https, la enhavo kiu povas esti rekte kaptita de Baiduspider estas metita sur la duanivela domajna nomo.

Laŭ la testo por Komputika Domo en la suba ligo, necesas 114 milisekundoj por establi konekton kun HTTP; necesas 436 milisekundoj por establi konekton kun HTTPS, kaj 322 milisekundoj por la ssl-parto, inkluzive de la reto prokrasto kaj la superkosto. de ĉifrado kaj deĉifrado de ssl mem (la servilo laŭ la informoj de la kliento Determini ĉu nova ĉefŝlosilo devas esti generita; la servilo respondas al la ĉefŝlosilo kaj resendas mesaĝon aŭtentikigitan per la ĉefŝlosilo al la kliento; la servilo; petas al la kliento ciferecan subskribon kaj publikan ŝlosilon).

XNUMX. Kiom da rimedoj konsumas HTTPS ol HTTP?

HTTPS estas fakte HTTP-protokolo konstruita sur SSL/TLS. Tial, por kompari kiom pli da servilresursoj estas uzataj de HTTPS ol HTTP,Chen WeiliangMi pensas, ke ĝi plejparte dependas de kiom da servilaj rimedoj estas konsumitaj de SSL/TLS mem.

HTTP uzas la TCP-tridirektan manpremon por establi konekton, kaj la kliento kaj servilo bezonas interŝanĝi 3 pakaĵojn;

Krom la tri pakaĵetoj de TCP, HTTPS ankaŭ aldonas 9 pakaĵetojn necesajn por la ssl-manpremo, do estas 12 pakoj entute.

Post kiam la SSL-konekto estas establita, la posta ĉiframetodo fariĝas simetria ĉiframetodo kiel 3DES, kiu havas malpezan CPU-ŝarĝon.Kompare kun la nesimetria ĉifrada metodo kiam la SSL-konekto estas establita, la ŝarĝo de la simetria ĉifrada metodo sur la CPU. povas esti esence ignorita. , do la problemo venas. Se vi rekonstruas la ssl-sesion ofte, la efiko al servila rendimento estos fatala. Kvankam malfermi HTTPS keep-alive povas mildigi la rendimentoproblemon de ununura konekto, ĝi ne taŭgas por grandskalaj retejoj kun granda nombro da samtempaj uzantoj. , sendependa SSL-fina prokurilo bazita sur ŝarĝo kundivido estas esenca. La TTT-servo estas metita post la SSL-finprokurilo. La SSL-finprokurilo povas esti aparataro bazita, kiel F5; aŭ ĝi povas esti bazita surProgramaroJes, ekzemple, Vikipedio uzas Nginx.

Post adopto de HTTPS, kiom pli da servilaj rimedoj estos uzataj, januaro 2010gmailŜanĝante al plena uzo de HTTPS, la CPU-ŝarĝo de la antaŭa pretiga SSL-maŝino ne pliiĝos je pli ol 1%, la memorkonsumo de ĉiu konekto estos malpli ol 20KB, kaj la rettrafiko pliiĝos je malpli ol 2% . Ĉar Gmail devus uzi N-servilojn por distribuita prilaborado, do La CPU-ŝarĝo-datumoj ne havas multan referencan signifon. La memorkonsumo kaj rettrafikdatumoj de ĉiu konekto estas de referenca signifo. Ĉi tiu artikolo ankaŭ listigas, ke ununura kerno pritraktas ĉirkaŭ 1500 manpremojn. je sekundo (por 1024-bita RSA). ), ĉi tiu datumo estas tre informa.

XNUMX. Avantaĝoj de HTTPS

Ĝuste ĉar HTTPS estas tre sekura, atakantoj ne povas trovi lokon por komenci.El la perspektivo de retejestroj, la avantaĝoj de HTTPS estas jenaj:

1. SEO-aspektoj

Guglo adaptis sian serĉilon-algoritmon en aŭgusto 2014, dirante ke "retejo ĉifrita kun HTTPS vicos pli alte en serĉrezultoj ol ekvivalenta HTTP-ejo".

2. Sekureco

Kvankam HTTPS ne estas absolute sekura, organizoj, kiuj regas radikajn atestojn kaj organizojn, kiuj regas ĉifrajn algoritmojn, ankaŭ povas fari atakojn de viro en la meza, sed HTTPS ankoraŭ estas la plej sekura solvo sub la nuna arkitekturo, kun la sekvaj avantaĝoj:

(1) Uzu la HTTPS-protokolon por aŭtentikigi uzantojn kaj servilojn por certigi, ke datumoj estas senditaj al la ĝusta kliento kaj servilo;

(2) La HTTPS-protokolo estas reto-protokolo konstruita de la SSL+HTTP-protokolo, kiu povas plenumi ĉifritan transdonon kaj identec-aŭtentikigon. Ĝi estas pli sekura ol la http-protokolo, kiu povas malhelpi datumojn esti ŝtelita kaj ŝanĝita dum la transdona procezo kaj certigi la integreco de la datumoj.

(3) HTTPS estas la plej sekura solvo sub la nuna arkitekturo.Kvankam ĝi ne estas absolute sekura, ĝi multe pliigas la koston de man-en-la-meza atakoj.

XNUMX. Malavantaĝoj de HTTPS

Kvankam HTTPS havas grandajn avantaĝojn, ĝi ankoraŭ havas kelkajn mankojn. Specife, estas la sekvaj du punktoj:

1. SEO-aspektoj

Laŭ datumoj de ACM CoNEXT, uzado de la HTTPS-protokolo plilongigos la paĝan ŝarĝan tempon je preskaŭ 50% kaj pliigos la elektran konsumon je 10% ĝis 20%. Krome, la HTTPS-protokolo ankaŭ influos la kaŝmemoron, pliigos datumojn superŝarĝon kaj elektran konsumon. , kaj eĉ ekzistantaj sekurecaj Rimedoj ankaŭ estos tuŝitaj kaj estos tuŝitaj laŭe.

Plie, la ĉifrada amplekso de la HTTPS-protokolo estas relative limigita, kaj ĝi apenaŭ ludas ajnan rolon en hacker-atakoj, neo de servo-atakoj kaj servilkaptado.

Plej grave, la sistemo de kreditoĉeno de SSL-atestiloj ne estas sekura, precipe kiam iuj landoj povas kontroli la CA-radikan atestilon, atakoj de viro en la mezo estas realigeblaj.

2. Ekonomiaj aspektoj

(1) SSL-atestiloj bezonas monon. Ju pli potenca estas la atestilo, des pli alta la kosto. Personaj retejoj povas uzi senpagajn SSL-atestojn.

(2) SSL-atestiloj kutime devas esti ligitaj al IP, kaj pluraj domajnaj nomoj ne povas esti ligitaj al la sama IP. IPv4-resursoj ne povas subteni ĉi tiun konsumon (SSL havas etendaĵojn kiuj povas parte solvi ĉi tiun problemon, sed ĝi estas ĝena kaj postulas retumiloj, operacio Sistemsubteno, Windows XP ne subtenas ĉi tiun etendon, konsiderante la instalitan bazon de XP, ĉi tiu funkcio estas preskaŭ senutila).

(3) HTTPS-konekto kaŝmemoro ne estas tiel efika kiel HTTP, kaj alttrafikaj retejoj ne uzos ĝin krom se necese, kaj la trafikkosto estas tro alta.

(4) HTTPS-konekto prenas multajn rimedojn ĉe la servilo, kaj subteni retejojn kun iom pli da vizitantoj postulas pli altan koston.Se ĉiuj HTTPS estas uzataj, la averaĝa kosto de VPS bazita sur la supozo, ke la plej multaj el la komputikaj rimedoj estas senlabore iros supren.

(5) La manprema fazo de la HTTPS-protokolo estas temporaba kaj havas negativan efikon sur la responda rapideco de la retejo.Se ĝi ne estas necesa, ne ekzistas kialo por oferi la uzantan sperton.

XNUMX. Ĉu la retejo bezonas esti ĉifrita per HTTPS?

Kvankam Guglo kaj Baidu ambaŭ "rigardas HTTPS malsame", tio ne signifas, ke retejestroj devas konverti la retejan protokolon al HTTPS!

Antaŭ ĉio, ni parolu pri Guglo.Kvankam Guglo daŭre emfazas, ke "retejoj uzantaj HTTPS-ĉifradan teknologion povas akiri pli bonajn rangojn", oni ne povas ekskludi, ke ĉi tio estas movo de "malsupera motivo".

Eksterlandaj analizistoj diris responde al ĉi tiu temo: la kialo kial Guglo faris ĉi tiun movon (ĝisdatigi la algoritmon, ĉu uzi HTTPS-ĉifradan teknologion kiel referencfaktoron por serĉiloj-rangotabeloj) eble ne estas plibonigi la serĉan sperton kaj Interreton de la uzanto. sekureca afero estas nur rekuperi la "perdon" en la skandalo "Prism Gate". Ĉi tio estas tipa mem-interesita movo sub la standardo "oferi la egoon", tenante alte la standardon de "Security Impact Ranking" kaj ĉantante "HTTPS". ĉie" ” slogano, kaj tiam senpene lasu la plimulton de retejestroj volonte aliĝi al la HTTPS-protokola tendaro.

Se via retejo apartenas alE-komerco/WechatPor platformoj, financo, sociaj retoj kaj aliaj kampoj, estas plej bone uzi la HTTPS-protokolon; se ĝi estas blogejo, reklama retejo, klasifikita informejo aŭ novaĵejo, senpaga SSL-atestilo povas esti uzata.

XNUMX. Kiel retejestro konstruas HTTPS-ejon?

Kiam temas pri konstruado de HTTPS-ejoj, ni devas mencii la SSL-protokolon. SSL estas la unua retsekureca protokolo adoptita de Netscape. Ĝi estas sekureca protokolo efektivigita sur Transmission Communication Protocol (TCP/IP). , SSL vaste subtenas diversaj specoj de retoj, dum ili provizas tri bazajn sekurecajn servojn, ili ĉiuj uzas teknologion pri publika ŝlosilo.

Kiam temas pri konstruado de HTTPS-ejoj, ni devas mencii la SSL-protokolon. SSL estas la unua retsekureca protokolo adoptita de Netscape. Ĝi estas sekureca protokolo efektivigita sur Transmission Communication Protocol (TCP/IP). , SSL vaste subtenas diversaj specoj de retoj, dum ili provizas tri bazajn sekurecajn servojn, ili ĉiuj uzas teknologion pri publika ŝlosilo.

1. La rolo de SSL

(1) Aŭtentikigi uzantojn kaj servilojn por certigi, ke datumoj estas senditaj al la ĝusta kliento kaj servilo;

(2) Ĉifri datumojn por malhelpi datumojn esti ŝtelita mezvoje;

(3) Konservu la integrecon de la datumoj kaj certigu, ke la datumoj ne estas ŝanĝitaj dum la transdona procezo.

La SSL-atestilo rilatas al la cifereca dosiero, kiu kontrolas la identecon de ambaŭ partioj en la SSL-komunikado.Ĝi estas ĝenerale dividita en servila atestilo kaj kliento-atestilo.La SSL-atestilo, kiun ni kutime diras ĉefe, rilatas al la servila atestilo. La SSL-atestilo estas. eldonita de fidinda cifereca atestila aŭtoritato CA (kiel ekzemple VeriSign, GlobalSign, WoSign, ktp.), eldonita post kontrolado de la identeco de la servilo, kun servila aŭtentikigo kaj datuma transdono ĉifrado funkcioj, dividita en Etendita Validation (EV) SSL-atestilo, Organizo Validado (OV) SSL-atestilo, kaj domajna nomo konfirmo Tipo (DV) SSL-atestilo.

2. 3 ĉefaj paŝoj por peti SSL-atestilon

Estas tri ĉefaj paŝoj por peti SSL-atestilon:

(1), faru CSR-dosieron

La tiel nomata CSR estas la atestilo pri atestilo pri Sekura Peto produktita de la kandidato.Dum la produktada procezo, la sistemo generos du ŝlosilojn, unu estas la publika ŝlosilo, kiu estas la CSR-dosiero, kaj la alia estas la privata ŝlosilo, kiu estas konservita sur la servilo.

Por fari CSR-dosierojn, kandidatoj povas raporti al WEB-SERVER-dokumentoj, ĝenerala APACHE, ktp., uzi la komandlinion OPENSSL por generi KEY+CSR2-dosierojn, Tomcat, JBoss, Resin, ktp. uzi KEYTOOL por generi JKS kaj CSR-dosierojn, IIS kreas. pritraktataj petoj kaj CSR-dosiero.

(2), CA-atestilo

Sendu la CSR al la CA, kaj la CA ĝenerale havas du aŭtentikigmetodojn:

①.Domajna nomo-aŭtentikigo: Ĝenerale, la leterkesto de la administranto estas aŭtentikigita.Tiu maniero de aŭtentikigo estas rapida, sed la atestilo eldonita ne enhavas la nomon de la kompanio.

② Atestilo pri dokumento de entrepreno: La komerca licenco de la entrepreno devas esti provizita, kiu ĝenerale daŭras 3-5 labortagojn.

Ekzistas ankaŭ atestiloj, kiuj bezonas aŭtentikigi la suprajn du metodojn samtempe, kiu nomiĝas EV-atestilo.Ĉi tiu atestilo povas verdigi la adresbreton de retumiloj super IE2, do la aŭtentigo ankaŭ estas la plej strikta.

(3), la instalado de la atestilo

Post ricevi la atestilon de CA, vi povas deploji la atestilon sur la servilo.Ĝenerale, la APACHE-dosiero rekte kopias KEY+CER al la dosiero, kaj poste modifas la HTTPD.CONF-dosieron; TOMCAT, ktp., bezonas importi la atestilon CER. dosiero eldonita de CA en la JKS-dosieron. , kopiu ĝin al la servilo, kaj poste modifi SERVER.XML; IIS devas prilabori la pritraktatan peton kaj importi la CER-dosieron.

XNUMX. Senpaga SSL-atestrekomendo

Uzado de SSL-atestilo povas ne nur certigi la sekurecon de informoj, sed ankaŭ plibonigi la fidon de la uzanto en la retejo, sed konsiderante lakonstrui retejonKonsiderante la koston, multaj retejestroj estas malinstigitaj de ĝi. Senpaga en Interreto ĉiam estas merkato, kiu neniam malmodiĝos. Estas senpaga gastiga spaco, kaj SSL-atestiloj estas nature liberaj. Antaŭe, estis raportite, ke Mozilla, Cisco, Akamai, IdenTrust, EFF kaj esploristoj de la Universitato de Miĉigano komencos la projekton Let's Encrypt CA, kiu planas provizi senpagajn SSL-atestojn kaj atestiladministrajn servojn por retejoj ekde ĉi tiu somero (notu: se vi bezonas pli altnivelajn kompleksajn atestojn, vi faros bezonas pagi), kaj samtempe , kaj ankaŭ reduktas la kompleksecon de atestila instalado, kiu daŭras nur 20-30 sekundojn.

Ofte estas grandaj kaj mezgrandaj retejoj, kiuj postulas kompleksajn atestojn, kaj malgrandaj retejoj kiel personaj blogoj povas provi senpagajn SSL-atestilojn unue.

SubeChen WeiliangLa blogo prezentos vin al pluraj senpagaj SSL-atestiloj, kiel: CloudFlare SSL, NameCheap, ktp.

1. CloudFlare SSL

CloudFlare estas retejo en Usono kiu provizas CDN-servojn. Ĝi havas siajn proprajn CDN-servilnodojn tra la tuta mondo. Multaj grandaj kompanioj aŭ retejoj hejme kaj eksterlande uzas la CDN-servojn de CloudFlare. Kompreneble, la plej ofte uzata de hejmaj retejestroj. estas la senpaga CDN de CloudFlare, akcelu Ĝi ankaŭ estas tre bona.La senpaga SSL-atestilo provizita de CloudFlare estas UniversalSSL, tio estas, universala SSL. Uzantoj povas uzi la SSL-atestilon sen peti kaj agordi atestilon de la atestila aŭtoritato. CloudFlare provizas SSL. ĉifrado al ĉiuj uzantoj (inkluzive de senpagaj uzantoj), TTT-interfaco La atestilo estas starigita ene de 5 minutoj, kaj la aŭtomata deplojo estas finita ene de 24 horoj, provizante TLS-ĉifradan servon bazitan sur Elipsa Kurba Cifereca Signature Algorithm (ECDSA) por reteja trafiko.

2. NomoMalkara

NameCheap estas gvida ICANN-akreditita domajna nomo registrado kaj retejo gastiganta kompanio, establita en 2000, la kompanio provizas senpagan DNS-rezolucion, URL-sendon (povas kaŝi la originalan URL, subteni 301-alidirektilon) kaj aliajn servojn, krome, NameCheap ankaŭ provizas Jaroj da SSL-atestilo senpaga servo.

3. Ni Ĉifri

Let's Encrypt estas senpaga SSL-atestilo-projekto kiu estas tre populara lastatempe.Let's Encrypt estas libera kaj senpaga publika bonfara projekto provizita de ISRG, kiu aŭtomate eldonas atestojn, sed la atestilo validas nur dum 90 tagoj.Ĝi taŭgas por persona uzo aŭ provizora uzo, kaj ne plu devas elteni la instigon, ke la memsubskribita atestilo ne estas fidinda de la retumilo.

fakte,Chen WeiliangLa blogo ankaŭ planas uzi Let's Encrypt lastatempe ^_^

Ni Ĉifri senpagan SSL-atestilon aplikan lernilon, bonvolu raporti ĉi tiun artikolon por detaloj:"Kiel kandidatiĝi por Let's Encrypt«