Ferqa di navbera http û https de çi ye? Ravekirina berfireh a pêvajoya şîfrekirina SSL

Bi pêşveçûna bilez a Înternetê, hin kes tiştê ku ew dixwazin dikinmarketing Wechat,Pêşveçûna hesabê gelemperî, lê gilî dikeKirrûbirra Înternetêbi rastî naxebitemedya nûAwayê çêtirîn ku mirov kirrûbirra Înternetê bikin bi motorên lêgerînê yedrainagemîqdar.

Ji ber vê yekê, motorên lêgerînê îro herî populer inPêşkêşkirina Webêyek ji rêyên.

Wekî din, motorên lêgerînê Google û Baidu bi gelemperî diyar kirin ku https di mekanîzmaya rêzkirina motora lêgerînê de ye.

taybetenE-bazirganîJi bo malperan, tê pêşniyar kirin ku protokola şîfrekirinê ya https bikar bînin, ku ne tenê ji bo baştirkirina rêzan dibe alîkar, lê di heman demê de ji bikarhêneran re dibe alîkar ku malperê bi ewlehî biceribînin.

Protokola Veguheztina Hypertext Protokola HTTP ji bo veguheztina agahiyê di navbera gerokek webê û serverek webê de tê bikar anîn. Protokola HTTP naverokê bi nivîsek zelal dişîne û tu rengek şîfrekirina daneyê peyda nake. Ger êrîşkar têkiliya di navbera geroka webê û serverê de bigire. Ji ber vê yekê, protokola HTTP ji bo şandina hin agahdariya hesas, wekî jimareya qerta krediyê, şîfre û agahdariya dravdanê ya din, ne guncaw e.

Ji bo ku ev kêmasiya protokola HTTP were çareser kirin, pêdivî ye ku protokolek din were bikar anîn: protokola veguheztina hîpertekst a qata ewleh a soketê HTTPS. Ji bo ewlehiya veguheztina daneyan, HTTPS protokola SSL li HTTP zêde dike, û SSL xwe dispêre sertîfîkayan da ku rastrast bike. server., û pêwendiya di navbera gerok û serverê de şîfre bikin.

XNUMX. Têgehên bingehîn ên HTTP û HTTPS

HTTP: li ser Înternetê protokola torê ya ku herî zêde tê bikar anîn e. Ew standardek daxwaz û bersivê (TCP) ji hêla xerîdar û server-aliyê ve ye, ku ji bo veguheztina hîpertekst ji serverek WWW bo gerokek herêmî tête bikar anîn. Pêşkêşkar bêtir e bikêrhatî, di encamê de veguheztina torê kêmtir dibe.

HTTPS: Kanalek HTTP-ya ewledar e. Bi kurtasî ew guhertoyek ewledar a HTTP-ê ye, ango qatek SSL li HTTP zêde dike. Bingeha ewlehiyê ya HTTPS SSL ye, ji ber vê yekê naveroka berfireh a şîfrekirinê SSL hewce dike.

Karên sereke yên protokola HTTPS dikare di du celeb de were dabeş kirin: yek ev e ku meriv kanalek ewlehiya agahdariyê saz bike da ku ewlehiya veguheztina daneyê peyda bike; ya din jî piştrastkirina rastiya malperê ye.

XNUMX. Ferqa di navbera HTTP û HTTPS de çi ye?

Daneyên ku ji hêla protokola HTTP ve têne şandin, ne şîfrekirî ne, ango bi nivîsek eşkere. Ji ber vê yekê, karanîna protokola HTTP ji bo veguheztina agahdariya taybet pir neewle ye. Ji bo ku ew daneyên taybet werin şîfrekirin û şandin, Netscape SSL-ya sêwirandî kir. Protokola (Secure Sockets Layer) ji bo HTTPS ji bo şîfrekirina daneyên ku ji hêla protokola HTTP ve hatî veguheztin çêbû.

Bi kurtasî, protokola HTTPS protokolek torê ye ku ji hêla protokola SSL + HTTP ve hatî çêkirin ku dikare veguheztina şîfrekirî û pejirandina nasnameyê pêk bîne, û ji protokola http ewletir e.

Cûdahiyên sereke di navbera HTTPS û HTTP de wiha ne:

• 1. Ji bo serîlêdana sertîfîkayê pêdivî ye ku protokola https biçe cayê. Bi gelemperî, çend sertîfîkayên belaş hene, ji ber vê yekê xercek taybetî hewce ye.
• 2. http protokola veguheztina hîpertekstê ye, agahdarî bi nivîsa vekirî tê veguheztin, û https protokolek veguheztina şîfrekirî ya ewledar a ssl ye.
• 3. http û https bi tevahî rêbazên girêdanê û portên cihêreng bikar tînin. Ya berê 80 û ya paşîn 443 ye.
• 4. Girêdana http-ê pir hêsan û bê dewlet e; protokola HTTPS protokolek torê ye ku ji hêla protokola SSL+HTTP ve hatî çêkirin ku dikare veguheztina şîfrekirî û piştrastkirina nasnameyê pêk bîne, ku ji protokola http ewletir e.

XNUMX. Ravekirina berfireh a pêvajoya şîfrekirina HTTPS û SSL

Em hemî dizanin ku HTTPS dikare agahdariya şîfre bike da ku pêşî li wergirtina agahdariya hesas ji hêla aliyên sêyemîn ve bigire, ji ber vê yekê gelek malperên banking an e-name û karûbarên din ên bi astên ewlehiyê yên bilind dê protokola HTTPS bikar bînin.

1. Xerîdar daxwazek HTTPS dest pê dike

Ev ne tiştek e ku meriv bêje, ango, bikarhêner URL-ya https-ê di gerokê de dike, û dûv re bi porta 443 ya serverê ve girêdayî ye.

2. Veavakirina server

Pêşkêşkara ku protokola HTTPS bikar tîne divê xwediyê komek sertîfîkayên dîjîtal be, ku dikare bi destê xwe were çêkirin an jî ji rêxistinê re were sepandin. Cûdahî ew e ku sertîfîkaya ku ji hêla we ve hatî derxistin divê ji hêla xerîdar ve were verast kirin berî ku ew bigihîje berdewam bike. sertîfîkaya ku ji hêla pargîdaniyek pêbawer ve hatî bicîh kirin nayê. Rûpelek bilez dê derkeve.

Ev koma sertîfîkayan bi rastî cotek mifteya giştî û mifteya taybet e. Heke hûn ji mifteya giştî û mifteya taybet fam nakin, hûn dikarin wê wekî kilît û kilît bihesibînin, lê hûn yekane kesê li cîhanê ne ku xwediyê wê ye. vê mifteyê Tu dikarî kilît bikî. Serê kesên din bikî, yên din dikarin vê kilîlê bikar bînin da ku tiştên girîng kilît bikin, û paşê ji we re bişînin, ji ber ku ev mift tenê di destê we de ye, ji ber vê yekê tenê hûn dikarin tiştên ku bi vê kilîlê ve hatine girtin bibînin.

3. Sertîfîkayê bişînin

Ev sertîfîka bi rastî mifteya giştî ye, lê gelek agahdarî dihewîne, wek desthilatdariya sertîfîkayê, dema qedandinê, û hwd.

4. Sertîfîkaya parskirina muwekîlê

Ev beşa xebatê ji hêla TLS-ya xerîdar ve tê kirin. Pêşîn, ew ê verast bike ka mifteya giştî derbasdar e, wek rayeya derxistinê, dema qedandinê, hwd. Heke îstîsnayek were dîtin, dê qutiyek hişyariyê derkeve, ku nîşan dide ku di sertîfîkayê de pirsgirêkek heye.

Ger di sertîfîkayê de pirsgirêk tune be, wê hingê nirxek bêserûber biafirînin, û dûv re nirxa rasthatî bi sertîfîkayê re şîfre bikin, wekî ku li jor hatî destnîşan kirin, nirxa rasthatî bi kilîtekê kilît bike, da ku heya mifteyek tunebe, hûn nikanin kilîtkirî bibînin. naveroka nirxê.

5. Veguheztina agahdariya şîfrekirî

Ev beş nirxa rasthatî ya ku bi sertîfîkayê ve hatî şîfrekirin vediguhezîne.Armanc ew e ku server vê nirxa rasthatî bi dest bixe, û paşê pêwendiya di navbera xerîdar û serverê de bi vê nirxa rasthatî were şîfrekirin û deşîfrekirin.

6. Agahdariya deşîfrekirina beşa karûbarê

Piştî ku server bi mifteya taybet deşîfre dike, nirxa rasthatî (mifteya taybet) ku ji hêla xerîdar ve hatî şandin distîne, û dûv re naverokê bi nirxê sîmetrîk şîfre dike. Bi vî rengî, heya ku mifteya taybet neyê zanîn, naverok nayê bidestxistin. û hem xerîdar û hem jî server mifteya taybet dizanin, ji ber vê yekê heya ku algorîtmaya şîfrekirinê têra xwe xurt be û mifteya taybet têra xwe tevlihev be, dane bes bi ewle ye.

7. Veguheztina agahdariya şîfrekirî

Ev beşa agahdarî agahdariya ku ji hêla mifteya taybet a beşa karûbarê ve hatî şîfrekirin e û dikare li ser milê xerîdar were nûve kirin.

8. Agahdariya deşîfrekirina xerîdar

Xerîdar agahdariya ku ji beşa karûbarê hatî şandin bi mifteya taybet a ku berê hatî çêkirin deşîfre dike, û bi vî rengî naveroka deşîfrekirî distîne.Tevî ku partiya sêyemîn di tevahiya pêvajoyê de çavdêriya daneyan bike jî, ew bêçare ye.

Çaremîn, helwesta motorên lêgerînê ji HTTPS re

Baidu karûbarek lêgerîna şîfrekirî ya HTTPS-ya tev-malper da destpêkirin da ku "aliyê sêyem" bêhnkirin û revandina nepenîtiya bikarhêneran çareser bike. Bi rastî, di destpêka Gulana 2010-an de, Google dest pê kir ku karûbarek lêgerîna şîfrekirî ya HTTPS peyda bike, rûpelên webê yên HTTPS xêz dike. Li ser mijarê de, Baidu di Îlona 5-an de di daxuyaniyekê de diyar kir ku "Baidu dê bi aktîvî li ser rûpelên webê yên HTTPS negere", lê Google di nûvekirina algorîtmayê de diyar kir ku "di heman şert û mercan de, malperên ku teknolojiya şîfrekirina HTTPS bikar tînin dê xwedan rêzikên lêgerînê yên çêtir bin. Awantaj".

Ji ber vê yekê, di vê hawîrdora mezin de, divê webmaster protokola HTTPS ya "xetere" qebûl bikin? HTTPS ji bo motorên lêgerînêSEOLi ser bandorê çi ye?

1. Helwesta Google

Helwesta Google ya li ser tevlêkirina malperên HTTPS ji ya malperên HTTP ne cûdatir e, û hem jî "gelo şîfrekirina ewledar bikar bînin" (HTTPS) di algorîtmaya rêzkirina lêgerînê de wekî faktorek referansê digire. Malperên ku teknolojiya şîfrekirina HTTPS bikar tînin dikarin encamên çêtir bistînin. Zêdetir derfetên pêşandanê hene, û rêzkirin jî ji malperên HTTP yên malperên wekhev sûdmendtir e.

Û Google eşkere kir ku ew "hêvî dike ku hemî webmaster dê bikaribin protokola HTTPS-ê li şûna HTTP-ê bikar bînin", ku biryardariya wê ya ji bo bidestxistina armanca "HTTPS li her derê" nîşan dide.

2. Helwesta Baidu

Berê, teknolojiya Baidu nisbeten paşdemayî bû, û digot ku "ew ê bi aktîvî li rûpelên https negere", lê ew di heman demê de "xemgîn bû" ji "gelek rûpelên https nekarin tê de bin". Heya 2014ê Îlona 9, Baidu nîqaşek li ser " Meriv çawa malperên https ava dike." Gotarek li ser mijara "Ji Baidu re hevaltî" hate weşandin, çar pêşniyar û çalakiyên taybetî ji bo "başkirina Baidu-hevaltiya malperên https" dide:

1. Ji bo rûpelên https yên ku hewce ne ku ji hêla motora lêgerînê ya Baidu ve bêne navnîş kirin, guhertoyên http-ê yên gihîştî çêbikin.

2. Ziyaretvan bi navgîniya bikarhêner-agent dadbar bikin, û B saz bikinaiDuspider ber bi rûpela http ve tê rêve kirin. Dema ku bikarhênerên asayî bi riya motora lêgerînê ya Baidu ve biçin ser rûpelê, ew ê bi 301-ê ve berbi rûpela https-a têkildar ve werin veguheztin.Wekî ku di wêneyê de tê xuyang kirin, wêneya jorîn guhertoya http ye ku di Baidu de tê de ye, û wêneya jêrîn guhertoya HTTPS-ê ye ku bikarhêner dê piştî tikandinê bixweber bavêjin ser.

3. Guhertoya http ne tenê ji bo rûpelê malê hatî çêkirin, rûpelên din ên girîng jî hewce ne ku bi versiyona http re bêne çêkirin û bi hevûdu ve werin girêdan. Vê yekê nekin: lînka li ser rûpela http ya malê hîn jî bi rûpela https ve girêdayî ye. , ku dihêle Baiduspider nikaribe bişoxilîne-- Em rastî rewşek wusa hatine ku em dikarin tenê rûpelek malê ji bo tevahiya malperê vehewînin.

4. Hin naverokên ku ne hewceyî şîfrekirinê ne, wek agahdarî, dikarin bi navê domaina asta duyemîn werin hilgirtin.bo nimûneAlipayMalper, naveroka bingehîn a şîfrekirî li ser https-ê tê danîn, naveroka ku rasterast ji hêla Baiduspider ve were girtin li ser navê domaina asta duyemîn tê danîn.

Li gorî ceribandina ji bo Mala Zanistiya Kompîturê ya di zencîreya jêrîn de, 114 milî çirkeyan hewce dike ku têkiliyek ji bo HTTP-ê were saz kirin; 436 milî çirkeyan hewce dike ku pêwendiyek ji bo HTTPS-ê saz bike, û 322 milîsantre jî ji bo beşa SSL-ê, tevî derengiya torê û sermayê. şîfrekirin û deşîfrekirina SSL bi xwe (server li ser bingeha agahdariya muwekîlê ye). Tesbît bike ka pêdivî ye ku mifteyek sereke ya nû were çêkirin an na; pêşkêşkar bersivê dide mifteya sereke û peyamek ku bi mifteya sereke hatî piştrast kirin ji xerîdar re vedigerîne. ; server ji muwekîlê îmzeyek dîjîtal û mifteya giştî daxwaz dike).

XNUMX. HTTPS ji HTTP çiqas çavkanî dixwe?

HTTPS bi rastî protokolek HTTP ye ku li ser SSL/TLS hatî çêkirin. Ji ber vê yekê, ji bo berhevdana çavkaniyên serverê ji hêla HTTPS ve ji HTTP-ê çiqas bêtir têne bikar anîn,Chen WeiliangEz difikirim ku ew bi piranî girêdayî ye ka çiqas çavkaniyên serverê ji hêla SSL / TLS bixwe ve têne vexwarin.

HTTP ji bo sazkirina têkiliyek TCP-ê sê-alî bikar tîne, û pêdivî ye ku xerîdar û server 3 pakêtan biguhezînin;

Ji bilî sê pakêtên TCP-ê, HTTPS jî hewce dike ku 9 pakêtên ku ji bo ssl-ê destan hewce dike lê zêde bike, ji ber vê yekê bi tevahî 12 pakêt hene.

Piştî ku pêwendiya SSL-ê hate saz kirin, rêbaza şîfrekirinê ya paşîn dibe rêbazek şîfrekirina sîmetrîk mîna 3DES, ku xwedan barek CPU-ya sivik e. Li gorî rêbaza şîfrekirina asimetrîk dema ku girêdana SSL-ê hate saz kirin, barkirina rêbaza şîfrekirina sîmetrîk li ser CPU dikare bi bingehîn were paşguh kirin. , ji ber vê yekê pirsgirêk tê. Ger hûn rûniştina ssl-ê pir caran ji nû ve ava bikin, dê bandora li ser performansa serverê kujer be. Her çend vekirina HTTPS-ê zindî bimîne dikare pirsgirêka performansa yek pêwendiyê kêm bike, ew ji bo Malperên mezin ên ku hejmareke mezin ji bikarhênerên hevdem hene. , proxyek bidawîkirina SSL-ya serbixwe ya ku li ser bingeha parvekirina barkirinê bingehîn e, pêdivî ye. Karûbarê Webê li dû proxy bidawîkirina SSL-ê tê danîn. Proxya bidawîkirina SSL-ê dikare li ser bingeha hardware be, wek F5; an jî ew dikare li ser bingehaNermalavErê, bo nimûne, Wikipedia Nginx bikar tîne.

Piştî pejirandina HTTPS, dê çiqas bêtir çavkaniyên serverê werin bikar anîn, Çile 2010GmailBi guheztina karanîna tevahî ya HTTPS-ê, barkirina CPU-ya makîneya SSL-ê ya pêvajoyek pêşîn dê ji% 1 zêdetir zêde nebe, mezaxtina bîranîna her pêwendiyê dê ji 20 KB kêmtir be, û seyrûsefera torê dê ji% 2 kêmtir zêde bibe. . Ji ber ku Gmail divê serverên N-yê ji bo pêvajoyek belavkirî bikar bîne, ji ber vê yekê Daneyên barkirina CPU xwedan girîngiya referansê ne pir girîng e. Vexwarina bîranînê û daneyên trafîka torê ya her pêwendiyê girîngiya referansê ye. Ev gotar jî destnîşan dike ku bingehek yekane nêzîkî 1500 destan dike. per second (ji bo 1024-bit RSA). ), ev dane pir agahdar e.

XNUMX. Awantajên HTTPS

Tam ji ber ku HTTPS pir ewle ye ku êrîşkar nikarin cîhek ji bo destpêkirinê bibînin. Ji perspektîfa webmasters, avantajên HTTPS wiha ne:

1. aliyên SEO

Google di Tebaxa 2014-an de algorîtmaya xweya motora lêgerînê rast kir, û got ku "malperek bi HTTPS-ê hatî şîfrekirin dê di encamên lêgerînê de ji malperek HTTP-ya wekhev bilindtir bibe".

2. Ewlekarî

Her çend HTTPS ne bi tevahî ewledar e, rêxistinên ku sertîfîkayên root master dikin û rêxistinên ku sertîfîkayên şîfrekirinê serdest in jî dikarin êrişên mirov-di-navîn pêk bînin, lê HTTPS hîn jî di binê mîmariya heyî de çareseriya herî ewledar e, bi avantajên jêrîn:

(1) Protokola HTTPS bikar bînin da ku bikarhêner û pêşkêşkeran rast bikin da ku pê ewle bibin ku dane ji xerîdar û servera rast re têne şandin;

(2) Protokola HTTPS protokola torê ye ku ji hêla protokola SSL+HTTP ve hatî çêkirin ku dikare veguheztina şîfrekirî û rastkirina nasnameyê pêk bîne. Ew ji protokola http ewletir e, ku dikare pêşî li dizîn û guhertina daneyan bigire di dema pêvajoya veguheztinê de û piştrast bike ku yekbûna daneyan.

(3) HTTPS di bin mîmariya heyî de çareseriya herî ewledar e. Her çend ew bi tevahî ewle nebe jî lê lêçûna êrişên mirov-di-navîn pir zêde dike.

XNUMX. Dezawantajên HTTPS

Her çend HTTPS xwedan avantajên mezin e, dîsa jî hin kêmasiyên wê hene. Bi taybetî du xalên jêrîn hene:

1. aliyên SEO

Li gorî daneyên ACM CoNEXT, bi karanîna protokola HTTPS dê dema barkirina rûpelê bi qasî% 50 dirêj bike û xerckirina hêzê ji% 10 heya 20% zêde bike. Wekî din, protokola HTTPS dê bandorê li cache jî bike, sermaya daneyê û xerckirina hêzê zêde bike. , û heta Tedbîrên ewlehiyê yên heyî jî dê bandor bibin û dê li gorî wê bandor bibin.

Digel vê yekê, qada şîfrekirinê ya protokola HTTPS bi rêkûpêk sînordar e, û di êrîşên hacker, êrîşên înkarkirina karûbarê, û revandina serverê de bandorek hindik e.

Ya herî girîng, pergala zincîra krediyê ya sertîfîkayên SSL ne ewle ye, nemaze dema ku hin welat dikarin sertîfîkaya root ya CA-yê kontrol bikin, êrîşên mirov-di-navîn pêkan in.

2. Aliyên aborî

(1) Sertîfîkayên SSL-ê drav hewce dikin. Sertîfîka çiqas bihêztir be, lêçûn jî bilindtir dibe. Malperên kesane dikarin sertîfîkayên SSL-ê belaş bikar bînin.

(2) Sertîfîkayên SSL-ê bi gelemperî hewce ne ku bi IP-yê ve werin girêdan, û navên pir domainê bi heman IP-yê re nayên girêdan. Çavkaniyên IPv4 nikarin vê serfkirinê piştgirî bikin (SSL xwedan pêvekirinên ku dikarin bi awakî qismî vê pirsgirêkê çareser bikin, lê dijwar e û gerokan hewce dike, Piştgiriya pergalê ya xebitandinê, Windows XP vê dirêjkirinê piştgirî nake, li gorî bingeha sazkirî ya XP, ev taybetmendî hema bêje bêkêr e).

(3) Veşartina pêwendiya HTTPS bi qasî HTTP-ê ne bikêr e, û malperên seyrûsefera zêde dê wê bikar neynin heya ku hewce nebe, û lêçûna seyrûseferê pir zêde ye.

(4) Xerca çavkaniya server-aliyê girêdana HTTPS pir zêde ye, û piştgirîkirina malperên ku hindiktir ziyaretvan lêçûnek mezintir hewce dike. Ger hemî HTTPS were bikar anîn, lêçûna navînî ya VPS-ê li ser bingeha wê texmînê ye ku piraniya çavkaniyên komputerê bêkar in. dê bilind bibe.

(5) Qonaxa destanan a protokola HTTPS-ê dem dixwe û bandorek neyînî li leza têkildar a malperê dike. Heke ne hewce be, tu sedem tune ku ezmûna bikarhêner bike qurban.

XNUMX. Ma pêdivî ye ku malper bi HTTPS-ê were şîfre kirin?

Her çend Google û Baidu her du jî "cuda li HTTPS dinêrin", ev nayê vê wateyê ku webmaster divê protokola malperê veguherînin HTTPS!

Berî her tiştî, em li ser Google bipeyivin. Her çend Google bi berdewamî tekez dike ku "malperên ku teknolojiya şîfrekirina HTTPS bikar tînin dikarin pileyên baştir bi dest bixin" jî, nayê rijandin ku ev tevgerek "mebesta paşîn" e.

Vekolerên biyanî carekê di bersiva vê pirsê de got: Sedema ku Google ev gav kir (algorîtmayê nûve bike, ka teknolojiya şîfrekirina HTTPS wekî faktorek referansê ji bo rêzikên motora lêgerînê bikar bîne) dibe ku ne çêtirkirina ezmûna lêgerîna bikarhêner û Internetnternetê be. Pirsgirêka ewlehiyê tenê ew e ku "wenda" di skandala "Prism Gate" de were vegerandin. Ev tevgerek xweser a tîpîk e di bin pankarta "qurbankirina egoyê de", bilindkirina pankarta "Rêzkirina Bandora Ewlekariyê" û qîrîna "HTTPS". li her derê" " slogan, û dûv re bi rengek bêhêvî bihêlin ku piraniya webmasters bi dilxwazî ​​beşdarî kampa protokola HTTPS bibin.

Ger malpera we girêdayî yeBazirganiya E-yê/WechatJi bo platform, darayî, tora civakî û warên din, çêtirîn e ku hûn protokola HTTPS bikar bînin; heke ew malperek blogê, malperek danasînê, malperek agahdariya nepenî, an malperek nûçeyan be, belgeyek SSL-ya belaş dikare were bikar anîn.

XNUMX. Çawa webmaster malpera HTTPS ava dike?

Dema ku dor tê avakirina malperên HTTPS, divê em behsa protokola SSL-ê bikin. SSL yekem protokola ewlehiya torê ye ku ji hêla Netscape ve hatî pejirandin. Ew protokolek ewlehiyê ye ku li ser Protokola Ragihandina Veguhestinê (TCP/IP) hatî bicîh kirin, teknolojiya mifteya giştî bikar tîne. , SSL bi berfirehî celeb celeb toran piştgirî dike, dema ku sê karûbarên ewlehiyê yên bingehîn peyda dike, ew hemî teknolojiya mifteya gelemperî bikar tînin.

Dema ku dor tê avakirina malperên HTTPS, divê em behsa protokola SSL-ê bikin. SSL yekem protokola ewlehiya torê ye ku ji hêla Netscape ve hatî pejirandin. Ew protokolek ewlehiyê ye ku li ser Protokola Ragihandina Veguhestinê (TCP/IP) hatî bicîh kirin, teknolojiya mifteya giştî bikar tîne. , SSL bi berfirehî celeb celeb toran piştgirî dike, dema ku sê karûbarên ewlehiyê yên bingehîn peyda dike, ew hemî teknolojiya mifteya gelemperî bikar tînin.

1. Rola SSL

(1) Bikarhêner û pêşkêşkeran rast bikin da ku pê ewle bibin ku dane ji xerîdar û servera rast re têne şandin;

(2) Daneyên şîfre bikin da ku pêşî li dizîna daneyan bigire;

(3) Yekbûna daneyan biparêzin û pê ewle bibin ku di pêvajoya veguheztinê de dane neyên guhertin.

Sertîfîkaya SSL pelek dîjîtal e ku nasnameya her du aliyan di pêwendiya SSL-ê de piştrast dike. Ew bi gelemperî di sertîfîkaya serverê û sertîfîkaya xerîdar de tê dabeş kirin. Sertîfîkaya SSL-ya ku em bi gelemperî dibêjin bi gelemperî sertîfîkaya serverê vedigire. Sertîfîkaya SSL-ê ye (wek VeriSign, GlobalSign, WoSign, hwd.), ku ji hêla rayedarek sertîfîkaya dîjîtal a pêbawer CA ve hatî derxistin, piştî verastkirina nasnameya serverê, bi fonksiyonên şîfrekirina rastkirina serverê û veguheztina daneyê, di sertîfîkaya SSL ya Berfirehkirî (EV) de hatî dabeş kirin, Sertîfîkaya SSL-ya Rastkirina Rêxistinê (OV), û Sertîfîkaya SSL-ê ya rastkirina navê domainê (DV).

2. 3 gavên sereke ji bo serîlêdana sertîfîkaya SSL

Sê gavên sereke hene ku hûn serlêdana sertîfîkayek SSL bikin:

(1), pelê CSR çêbikin

Ya ku jê re tê gotin CSR pelê daxwaznameya sertîfîkaya Daxwaza Ewle ya Sertîfîkayê ye ku ji hêla serlêder ve hatî hilberandin. Di pêvajoya hilberînê de, pergal dê du kilîtan çêbike, yek mifteya giştî ye, ku pelê CSR ye, û ya din jî mifteya taybet e. ya ku li ser serverê tê hilanîn.

Ji bo çêkirina pelên CSR, serlêder dikarin serî li belgeyên WEB SERVER, giştî APACHE, hwd., Rêça fermanê OPENSSL bikar bînin da ku pelên KEY + CSR2 çêbikin, Tomcat, JBoss, Resin, hwd. KEYTOOL bikar bînin da ku pelên JKS û CSR çêbikin, IIS diafirîne daxwazek li bendê û pelek CSR.

(2), sertîfîkaya CA

CSR-ê ji CA re bişînin, û CA bi gelemperî du rêbazên pejirandinê hene:

① Rastkirina navê domainê: Bi gelemperî, qutiya posteyê ya rêveberê rasthatî ye. Ev rêbaz bilez e, lê sertîfîkaya ku hatî derxistin navê pargîdaniyê nagire.

②、 Sertîfîkaya belgeya pargîdaniyê: Pêdivî ye ku lîsansa karsaziyê ya pargîdaniyê were peyda kirin, ku bi gelemperî 3-5 rojên xebatê digire.

Di heman demê de sertîfîka hene ku hewce ne ku her du rêbazên jorîn di heman demê de piştrast bikin, ku jê re sertîfîkaya EV tê gotin. Ev sertîfîka dikare barê navnîşana gerokên li jor IE2 kesk bike, ji ber vê yekê erêkirin jî ya herî hişk e.

(3), sazkirina sertîfîkayê

Piştî wergirtina sertîfîkayê ji CA, hûn dikarin sertîfîkayê li ser serverê bicîh bikin. Bi gelemperî, pelê APACHE rasterast KEY+CER li pelê kopî dike, û paşê pelê HTTPD.CONF diguhezîne; TOMCAT, hwd., pêdivî ye ku sertîfîkaya CER têxe pelê ku ji hêla CA ve hatî şandin di pelê JKS de. , wê li serverê kopî bikin, û dûv re SERVER.XML biguhezînin; IIS pêdivî ye ku daxwaznameya li bendê bişopîne û pelê CER bike.

XNUMX. Pêşniyara belgeya SSL ya belaş

Bikaranîna sertîfîkayek SSL-ê ne tenê dikare ewlehiya agahdariyê misoger bike, lê di heman demê de baweriya bikarhêner bi malperê jî baştir dike, lê ji bermalperek ava bikinJi ber ku lêçûn li ber çavan bê girtin, gelek webmaster ji wê bêhêvî ne. Ser Înternetê belaş her dem bazarek e ku tu carî ji şêwazê dernakeve. Cihên mêvandariyê yên belaş hene, û bi xwezayî sertîfîkayên SSL-ya belaş hene. Berê, hate ragihandin ku Mozilla, Cisco , Akamai , IdenTrust, EFF, û lêkolînerên li Zanîngeha Michigan dê dest bi projeya Let's Encrypt CA bikin, ya ku plan dike ku ji vê havînê dest pê bikin sertîfîkayên SSL-ê û karûbarên rêveberiya sertîfîkayê yên belaş peyda bike (têbînî: heke we hewceyê sertîfîkayên tevlihevtir ên pêşkeftî be, hûn dê hewce bike ku bidin), û di heman demê de, tevliheviya sazkirina sertîfîkayê jî kêm dike, dema sazkirinê tenê 20-30 çirke ye.

Bi gelemperî ew malperên mezin û navîn in ku hewceyê sertîfîkayên tevlihev in, û malperên piçûk ên wekî blogên kesane dikarin pêşî sertîfîkayên SSL-ya belaş biceribînin.

Li jêr eChen WeiliangBlog dê çend sertîfîkayên SSL-ya belaş nas bike, wek: CloudFlare SSL, NameCheap, hwd.

1. CloudFlare SSL

CloudFlare malperek li Dewletên Yekbûyî ye ku karûbarên CDN peyda dike. Ew li çaraliyê cîhanê girêkên xwe yên servera CDN-ê hene. Gelek pargîdaniyên mezin an malperên li hundur û derveyî welêt karûbarên CDN yên CloudFlare bikar tînin. Bê guman, ya herî gelemperî ji hêla webmastersên navxweyî ve tê bikar anîn. CDN-ya belaş a CloudFlare ye. Ew jî pir baş e. Sertîfîkaya SSL-ya belaş a ku ji hêla CloudFlare ve hatî peyda kirin UniversalSSL e, ango SSL-ya gerdûnî, sertîfîkayek SSL-ya ku bikarhêner dikarin bêyî serlêdan û mîhengkirina sertîfîkayek ji rayedarek sertîfîkayê bikar bînin. CloudFlare şîfrekirina SSL-ê peyda dike. ji hemî bikarhêneran re (tevî bikarhênerên belaş), navbeynkariya malperê Sertîfîka di nav 5 hûrdeman de tête saz kirin, û bicîhkirina otomatîkî di nav 24 demjimêran de qediya, karûbarê şîfrekirina TLS li ser bingeha Algorîtmaya Îmzeya Dîjîtal a Elliptic Curve (ECDSA) ji bo seyrûsefera malperê peyda dike.

2. NameCheap

NameCheap pargîdaniyek qeydkirina navên domain û mêvandariya malperê ya pejirandî ya ICANN-ê ye, ku di sala 2000-an de hatî damezrandin, pargîdanî çareseriya DNS-ya belaş, şandina URL-ê (dikare URL-ya orîjînal veşêre, beralîkirina 301 piştgirî bike) û karûbarên din peyda dike, ji bilî vê, NameCheap jî pêşkêşî dike. Salên karûbarê belaş sertîfîkaya SSL.

3. Werin em Şîfre bikin

Let's Encrypt projeyek belavkirina sertîfîkaya SSL ya belaş e ku di van demên dawî de pir populer e. Let's Encrypt projeyek bextewariya giştî ya belaş û belaş e ku ji hêla ISRG ve hatî peyda kirin, ku bixweber sertîfîkayan dide, lê sertîfîka tenê 90 rojan derbasdar e.Ew ji bo karanîna kesane an karanîna demkî maqûl e, û êdî ne hewce ye ku bi leza ku sertîfîkaya xwe-îmzakirî ji hêla gerokê ve nayê bawer kirin bisekine.

di rastî,Chen WeiliangDi heman demê de blog plan dike ku vê dawiyê Let's Encrypt bikar bîne ^_^

Werin em dersa serîlêdana sertîfîkaya SSL-ya belaş şîfre bikin, ji kerema xwe ji bo hûrguliyan li vê gotarê binihêrin:"Meriv çawa serlêdana Let's Encrypt dike"