Kuna tofauti gani kati ya http na https? Maelezo ya kina ya mchakato wa usimbaji fiche wa SSL

Pamoja na maendeleo ya haraka ya mtandao, watu wengine hufanya kile wanachotakaUuzaji wa Wechat,Ukuzaji wa akaunti ya umma, lakini analalamikaUuzaji wa mtandaohaifanyi kazi, kwa kwelimedia mpyaNjia bora ya watu kufanya uuzaji wa mtandao ni kupitia injini za utafutajimifereji ya majikiasi.

Kwa hiyo, injini za utafutaji ni maarufu zaidi siku hiziUkuzaji wa Wavutimojawapo ya njia.

Zaidi ya hayo, injini za utafutaji za Google na Baidu zimesema hadharani kwamba https imejumuishwa katika utaratibu wa kuorodhesha injini ya utafutaji.

hasaBiashara ya kielektronikiKwa tovuti, inashauriwa kutumia itifaki ya usimbuaji wa https, ambayo sio tu inasaidia kuboresha viwango, lakini pia husaidia watumiaji kupata tovuti kwa usalama.

Itifaki ya HTTP ya Itifaki ya Uhamisho wa Maandishi hutumika kuhamisha habari kati ya kivinjari cha wavuti na seva ya wavuti. Itifaki ya HTTP hutuma yaliyomo kwa maandishi wazi na haitoi aina yoyote ya usimbaji fiche wa data. Mshambulizi akiingilia muunganisho kati ya kivinjari cha wavuti na seva ya wavuti Kwa hivyo, HTTP itifaki haifai kwa kutuma taarifa nyeti, kama vile nambari ya kadi ya mkopo, nenosiri na maelezo mengine ya malipo.

Ili kutatua kasoro hii ya itifaki ya HTTP, itifaki nyingine inapaswa kutumika: itifaki ya uhamishaji wa maandishi ya hali ya juu ya safu ya tundu salama ya HTTPS. Kwa usalama wa utumaji data, HTTPS huongeza itifaki ya SSL kwa HTTP, na SSL inategemea vyeti ili kuthibitisha seva. , na usimba kwa njia fiche mawasiliano kati ya kivinjari na seva.

XNUMX. Dhana za kimsingi za HTTP na HTTPS

HTTP: ndiyo itifaki ya mtandao inayotumika sana kwenye Mtandao. Ni ombi la upande wa mteja na upande wa seva na kiwango cha majibu (TCP). Hutumika kusambaza maandishi makubwa kutoka kwa seva ya WWW hadi kwa kivinjari cha ndani. Seva ni zaidi ufanisi, na kusababisha uhamisho mdogo wa mtandao.

HTTPS: Ni chaneli salama ya HTTP. Kwa ufupi, ni toleo salama la HTTP, yaani, kuongeza safu ya SSL kwenye HTTP. Msingi wa usalama wa HTTPS ni SSL, kwa hivyo maudhui ya kina ya usimbaji fiche yanahitaji SSL.

Kazi kuu za itifaki ya HTTPS zinaweza kugawanywa katika aina mbili: moja ni kuanzisha chaneli ya usalama wa habari ili kuhakikisha usalama wa usambazaji wa data; nyingine ni kudhibitisha ukweli wa wavuti.

XNUMX. Kuna tofauti gani kati ya HTTP na HTTPS?

Data inayotumwa na itifaki ya HTTP haijasimbwa kwa njia fiche, yaani kwa maandishi wazi. Kwa hivyo, si salama sana kutumia itifaki ya HTTP kusambaza taarifa za kibinafsi. Ili kuhakikisha kwamba data hizi za faragha zinaweza kusimbwa na kusambazwa, Netscape ilitengeneza Itifaki ya SSL (Safu ya Soketi Salama) ya HTTPS ilizaliwa ili kusimba kwa njia fiche data inayotumwa na itifaki ya HTTP.

Kwa ufupi, itifaki ya HTTPS ni itifaki ya mtandao iliyoundwa na itifaki ya SSL+HTTP ambayo inaweza kutekeleza uwasilishaji kwa njia fiche na uthibitishaji wa utambulisho, na ni salama zaidi kuliko itifaki ya http.

Tofauti kuu kati ya HTTPS na HTTP ni kama ifuatavyo:

• 1. Itifaki ya https inahitaji kwenda kwenye ca ili kutuma maombi ya cheti. Kwa ujumla, kuna vyeti vichache vya bila malipo, kwa hivyo ada fulani inahitajika.
• 2. http ni itifaki ya uhamisho wa hypertext, taarifa hupitishwa kwa maandishi wazi, na https ni itifaki ya uhamishaji iliyosimbwa kwa njia salama ya ssl.
• 3. http na https hutumia njia tofauti kabisa za kuunganisha na kutumia bandari tofauti. Ya kwanza ni 80 na ya mwisho ni 443.
• 4. Muunganisho wa http ni rahisi sana na hauna uraia, itifaki ya HTTPS ni itifaki ya mtandao iliyoundwa na itifaki ya SSL+HTTP ambayo inaweza kutekeleza uwasilishaji kwa njia fiche na uthibitishaji wa utambulisho, ambayo ni salama zaidi kuliko itifaki ya http.

XNUMX. Ufafanuzi wa kina wa mchakato wa usimbaji wa HTTPS na SSL

Sote tunajua kuwa HTTPS inaweza kusimba taarifa kwa njia fiche ili kuzuia taarifa nyeti zisipatikane na wahusika wengine, kwa hivyo tovuti nyingi za benki au barua pepe na huduma zingine zilizo na viwango vya juu vya usalama zitatumia itifaki ya HTTPS.

1. Mteja ataanzisha ombi la HTTPS

Hii sio chochote cha kusema, yaani, mtumiaji huingiza URL ya https kwenye kivinjari, na kisha kuunganisha kwenye bandari 443 ya seva.

2. Usanidi wa seva

Seva inayotumia itifaki ya HTTPS lazima iwe na seti ya vyeti vya dijitali, ambavyo vinaweza kufanywa na wewe mwenyewe au kutumika kwa shirika. Tofauti ni kwamba cheti ulichotoa wewe mwenyewe kinahitaji kuthibitishwa na mteja kabla ya kuendelea kukifikia, huku. cheti kilichotumiwa na kampuni inayoaminika hakifanyi hivyo. Ukurasa wa kidokezo utatokea.

Seti hii ya vyeti kwa hakika ni jozi ya ufunguo wa umma na ufunguo wa faragha. Ikiwa huelewi ufunguo wa umma na ufunguo wa faragha, unaweza kufikiria kama ufunguo na kufuli, lakini wewe ndiye mtu pekee duniani ambaye ufunguo huu.Unaweza kuifunga kufuli.Nenda kwa wengine, wengine wanaweza kutumia kufuli hii kufunga vitu muhimu, kisha wakutumie, kwa sababu ni wewe tu una ufunguo huu, kwa hivyo unaweza kuona vitu vilivyofungwa na kufuli hii.

3. Tuma cheti

Cheti hiki kwa hakika ndicho ufunguo wa umma, lakini kina maelezo mengi, kama vile mamlaka ya cheti, muda wa mwisho wa matumizi, na kadhalika.

4. Cheti cha uchanganuzi cha mteja

Sehemu hii ya kazi inafanywa na TLS ya mteja. Kwanza, itathibitisha kama ufunguo wa umma ni halali, kama vile mamlaka iliyotoa, muda wa mwisho wa matumizi, n.k. isipokuwa kutapatikana, kisanduku cha onyo kitatokea, kuashiria kwamba. kuna tatizo kwenye cheti.

Iwapo hakuna tatizo na cheti, basi toa thamani nasibu, na kisha utumie cheti kusimba thamani nasibu, kama ilivyotajwa hapo juu, funga thamani ya nasibu kwa kufuli, ili isipokuwa kama hakuna ufunguo, huwezi kuona yaliyofungwa thamani.

5. Usambazaji wa taarifa zilizosimbwa

Sehemu hii hutuma thamani nasibu iliyosimbwa kwa cheti. Madhumuni ni kuruhusu seva kupata thamani hii nasibu, kisha mawasiliano kati ya mteja na seva yanaweza kusimbwa kwa njia fiche na kusimbwa kupitia thamani hii nasibu.

6. Maelezo ya usimbuaji wa sehemu ya huduma

Baada ya seva kusimbua kwa ufunguo wa faragha, hupata thamani ya nasibu (ufunguo wa faragha) iliyotumwa na mteja, na kisha husimba maudhui kwa ulinganifu kupitia thamani hiyo. Kwa njia hii, isipokuwa ufunguo wa faragha ujulikane, maudhui hayawezi kupatikana. na mteja na seva wanajua ufunguo wa faragha, ili mradi algoriti ya usimbaji fiche iwe na nguvu ya kutosha na ufunguo wa faragha ni changamano vya kutosha, data ni salama vya kutosha.

7. Usambazaji wa taarifa zilizosimbwa

Sehemu hii ya maelezo ni taarifa iliyosimbwa kwa njia fiche na ufunguo wa faragha wa sehemu ya huduma na inaweza kurejeshwa kwa upande wa mteja.

8. Taarifa za usimbuaji wa mteja

Mteja anasimbua maelezo yaliyotumwa kutoka sehemu ya huduma kwa kutumia ufunguo wa faragha uliotolewa awali, na hivyo kupata maudhui yaliyosimbwa. Hata kama mtu wa tatu anafuatilia data wakati wa mchakato mzima, haina msaada.

Nne, mtazamo wa injini za utafutaji kwa HTTPS

Baidu imezindua huduma ya tovuti kamili ya utafutaji iliyosimbwa kwa njia fiche ya HTTPS ili kutatua "mtu wa tatu" kunusa na utekaji nyara wa faragha ya mtumiaji. Kwa hakika, mapema Mei 2010, Google ilianza kutoa huduma za utafutaji zilizosimbwa kwa njia fiche za HTTPS, na kutambaa kurasa za wavuti za HTTPS. suala hilo, Baidu alisema katika tangazo la Septemba 5 kwamba "Baidu haitatambaa kwa bidii kurasa za wavuti za HTTPS", huku Google ilisema katika sasisho la algoriti kwamba "chini ya hali hiyo hiyo, tovuti zinazotumia teknolojia ya usimbaji fiche ya HTTPS zitakuwa na viwango bora vya utafutaji. Faida" .

Kwa hivyo, katika mazingira haya makubwa, wasimamizi wa wavuti wanapaswa kupitisha itifaki ya "hatari" ya HTTPS? HTTPS kwa injini za utafutajiSEOVipi kuhusu athari?

1. Mtazamo wa Google

Mtazamo wa Google kuhusu ujumuishaji wa tovuti za HTTPS sio tofauti na ule wa tovuti za HTTP, na hata huchukua "ikiwa utatumia usimbaji fiche salama" (HTTPS) kama kipengele cha marejeleo katika kanuni ya safu ya utafutaji. Tovuti zinazotumia teknolojia ya usimbaji fiche ya HTTPS zinaweza kupata matokeo bora. Kuna fursa nyingi zaidi za kuonyesha, na cheo ni cha manufaa zaidi kuliko tovuti za HTTP za tovuti zinazofanana.

Na Google imeweka wazi kuwa "inatumai kuwa wasimamizi wote wa wavuti wataweza kutumia itifaki ya HTTPS badala ya HTTP", ambayo inaonyesha dhamira yake ya kufikia lengo la "HTTPS kila mahali".

2. Mtazamo wa Baidu

Hapo awali, teknolojia ya Baidu ilikuwa nyuma kiasi, ikisema kwamba "haitatambaa kurasa za https", lakini pia "ilikuwa na wasiwasi" kuhusu "kurasa nyingi za https haziwezi kujumuishwa." Hadi Septemba 2014, 9, Baidu alijadili "Jinsi ya jenga tovuti za https ili kufikia lengo". Makala ilichapishwa kuhusu suala la "Rafiki kwa Baidu", ikitoa mapendekezo manne na hatua mahususi za "kuboresha urafiki wa Baidu wa tovuti za https":

1. Fanya matoleo ya http kupatikana kwa kurasa za https ambazo zinahitaji kuorodheshwa na injini ya utafutaji ya Baidu.

2. Hakimu mgeni kupitia wakala wa mtumiaji, na uweke BaiDuspider inaelekezwa kwa ukurasa wa http. Watumiaji wa kawaida wanapotembelea ukurasa kupitia mtambo wa kutafuta wa Baidu, wataelekezwa kwenye ukurasa wa https unaolingana kupitia 301.Kama inavyoonyeshwa kwenye mchoro, picha iliyo hapo juu inaonyesha toleo la http lililojumuishwa kwenye Baidu, na picha ya chini inaonyesha kuwa watumiaji wataruka kiotomatiki hadi toleo la https baada ya kubofya.

3. Toleo la http halijatengenezwa kwa ukurasa wa nyumbani pekee.Kurasa zingine muhimu pia zinahitaji kutengenezwa na matoleo ya http na kuunganishwa kwa kila mmoja.Hii haipaswi kutokea: viungo kwenye ukurasa wa nyumbani wa http bado vinaunganishwa na ukurasa wa https, ambao humfanya Baiduspider ashindwe kuendelea kutambaa—— Tumekumbana na hali kama hii kwamba tunaweza tu kujumuisha ukurasa mmoja wa nyumbani wa tovuti nzima.

4. Baadhi ya maudhui ambayo hayahitaji kusimbwa, kama vile habari, yanaweza kubebwa na jina la kikoa cha ngazi ya pili.kwa mfanoAlipayTovuti, maudhui ya msingi yaliyosimbwa huwekwa kwenye https, maudhui ambayo yanaweza kunyakuliwa moja kwa moja na Baiduspider yanawekwa kwenye jina la kikoa cha ngazi ya pili.

Kulingana na jaribio la Nyumba ya Sayansi ya Kompyuta kwenye kiunga kilicho hapa chini, inachukua milisekunde 114 kuanzisha muunganisho na HTTP; inachukua milisekunde 436 kuanzisha muunganisho na HTTPS, na milisekunde 322 kwa sehemu ya ssl, pamoja na kucheleweshwa kwa mtandao na uendeshaji. ya usimbaji fiche na usimbuaji wa ssl yenyewe (seva kulingana na habari ya mteja Amua ikiwa ufunguo mkuu mpya unahitaji kuzalishwa; seva hujibu ufunguo mkuu na kurudisha ujumbe uliothibitishwa na ufunguo mkuu kwa mteja; seva inaomba mteja saini ya dijiti na ufunguo wa umma).

XNUMX. HTTPS hutumia rasilimali ngapi kuliko HTTP?

HTTPS kwa hakika ni itifaki ya HTTP iliyojengwa juu ya SSL/TLS. Kwa hivyo, ili kulinganisha ni kiasi gani cha rasilimali za seva hutumiwa na HTTPS kuliko HTTP,Chen WeiliangNadhani inategemea sana ni rasilimali ngapi za seva zinazotumiwa na SSL/TLS yenyewe.

HTTP hutumia kupeana mkono kwa njia tatu za TCP ili kuanzisha muunganisho, na mteja na seva wanahitaji kubadilishana pakiti 3;

Kando na pakiti tatu za TCP, HTTPS pia inahitaji kuongeza pakiti 9 zinazohitajika kwa ssl handshake, kwa hivyo kuna pakiti 12 kwa jumla.

Baada ya muunganisho wa SSL kuanzishwa, mbinu inayofuata ya usimbaji fiche inakuwa mbinu linganifu ya usimbaji fiche kama vile 3DES, ambayo ina mzigo mwepesi wa CPU. Ikilinganishwa na mbinu ya usimbaji linganifu wakati muunganisho wa SSL umeanzishwa, mzigo wa mbinu ya usimbaji linganifu kwenye CPU. inaweza kupuuzwa kimsingi. , kwa hivyo shida inakuja. Ukiunda upya kipindi cha ssl mara kwa mara, athari kwenye utendakazi wa seva itakuwa mbaya. Ingawa kufungua HTTPS keep-ave kunaweza kupunguza tatizo la utendakazi wa muunganisho mmoja, ni tovuti kubwa. na idadi kubwa ya watumiaji wanaotumia wakati mmoja. , wakala huru wa kusimamisha SSL kulingana na ushiriki wa upakiaji ni muhimu. Huduma ya Wavuti huwekwa baada ya proksi ya kusimamisha SSL. Wakala wa kusimamisha SSL unaweza kuwa msingi wa maunzi, kama vile F5; au inaweza kuwa. kulingana naProgramuNdiyo, kwa mfano, Wikipedia hutumia Nginx.

Baada ya kupitisha HTTPS, ni rasilimali ngapi zaidi za seva zitatumika, Januari 2010gmailKubadilisha hadi matumizi kamili ya HTTPS, mzigo wa CPU wa mashine ya SSL ya kuchakata sehemu ya mbele hautaongezeka kwa zaidi ya 1%, matumizi ya kumbukumbu ya kila muunganisho yatakuwa chini ya 20KB, na trafiki ya mtandao itaongezeka kwa chini ya 2%. . Kwa kuwa Gmail inapaswa kutumia seva za N kwa kuchakata kusambazwa, kwa hivyo Data ya upakiaji wa CPU haina umuhimu mkubwa wa marejeleo. Matumizi ya kumbukumbu na data ya trafiki ya mtandao ya kila muunganisho ni ya umuhimu wa marejeleo. Kifungu hiki pia kinaorodhesha kuwa msingi mmoja hushughulikia takriban kupeana mikono 1500. kwa sekunde (kwa 1024-bit RSA) ), data hii ni ya kuelimisha sana.

XNUMX. Manufaa ya HTTPS

Ni kwa sababu hasa HTTPS ni salama sana kwamba wavamizi hawawezi kupata pa kuanzia. Kwa mtazamo wa wasimamizi wa tovuti, manufaa ya HTTPS ni kama ifuatavyo:

1. Vipengele vya SEO

Google ilirekebisha algoriti ya injini yake ya utafutaji mnamo Agosti 2014, ikisema kwamba "tovuti iliyosimbwa kwa njia fiche kwa HTTPS itakuwa na nafasi ya juu katika matokeo ya utafutaji kuliko tovuti sawa ya HTTP".

2. Usalama

Ingawa HTTPS si salama kabisa, mashirika ambayo yanamiliki vyeti vya mizizi na mashirika ambayo yanamiliki algoriti za usimbaji fiche yanaweza pia kutekeleza mashambulizi ya mtu katikati, lakini HTTPS bado ndilo suluhu salama zaidi chini ya usanifu wa sasa, ikiwa na faida zifuatazo:

(1) Tumia itifaki ya HTTPS ili kuthibitisha watumiaji na seva ili kuhakikisha kwamba data inatumwa kwa mteja na seva sahihi;

(2) Itifaki ya HTTPS ni itifaki ya mtandao iliyoundwa na itifaki ya SSL+HTTP ambayo inaweza kutekeleza uwasilishaji kwa njia fiche na uthibitishaji wa utambulisho. Ni salama zaidi kuliko itifaki ya http, ambayo inaweza kuzuia data isiibiwe na kubadilishwa wakati wa mchakato wa kutuma na kuhakikisha uadilifu wa data.

(3) HTTPS ndilo suluhisho salama zaidi chini ya usanifu wa sasa. Ingawa si salama kabisa, huongeza sana gharama ya mashambulizi ya mtu katikati.

XNUMX. Hasara za HTTPS

Ingawa HTTPS ina faida kubwa, bado ina mapungufu. Hasa, kuna mambo mawili yafuatayo:

1. Vipengele vya SEO

Kulingana na data ya ACM CoNEXT, kutumia itifaki ya HTTPS kutaongeza muda wa upakiaji wa ukurasa kwa karibu 50% na kuongeza matumizi ya nishati kwa 10% hadi 20%. Aidha, itifaki ya HTTPS pia itaathiri kashe, kuongeza data juu na nguvu. matumizi, na hata Hatua za usalama zilizopo pia zitaathirika na kwa hiyo zitaathirika.

Zaidi ya hayo, upeo wa usimbaji fiche wa itifaki ya HTTPS ni mdogo, na haina jukumu lolote katika mashambulizi ya wadukuzi, kunyimwa mashambulizi ya huduma, na utekaji nyara wa seva.

Muhimu zaidi, mfumo wa msururu wa mikopo wa vyeti vya SSL si salama, hasa wakati baadhi ya nchi zinaweza kudhibiti cheti cha mizizi ya CA, mashambulizi ya mtu katikati yanawezekana.

2. Mambo ya kiuchumi

(1) Vyeti vya SSL vinahitaji pesa. Kadiri cheti kilivyo na nguvu zaidi, ndivyo gharama inavyopanda. Tovuti za kibinafsi zinaweza kutumia vyeti vya bure vya SSL.

(2) Vyeti vya SSL kwa kawaida huhitaji kushikamana na IP, na majina mengi ya vikoa hayawezi kuunganishwa kwa IP sawa. Nyenzo za IPv4 haziwezi kutumia matumizi haya (SSL ina viendelezi vinavyoweza kutatua tatizo hili kwa kiasi, lakini ni taabu na inahitaji vivinjari; operesheni Msaada wa mfumo, Windows XP haiunga mkono ugani huu, kwa kuzingatia msingi uliowekwa wa XP, kipengele hiki ni karibu bure).

(3) Uakibishaji wa muunganisho wa HTTPS si mzuri kama HTTP, na tovuti zenye trafiki nyingi hazitaitumia isipokuwa lazima, na gharama ya trafiki ni kubwa mno.

(4) Matumizi ya rasilimali ya upande wa seva ya muunganisho wa HTTPS ni ya juu zaidi, na kusaidia tovuti zilizo na wageni wengi zaidi kunahitaji uwekezaji zaidi. Ikiwa HTTPS itatumika, wastani wa gharama ya VPS kulingana na dhana kwamba rasilimali nyingi za kompyuta hazifanyi kazi zitatoweka. juu.

(5) Awamu ya kupeana mkono ya itifaki ya HTTPS inatumia muda mwingi na ina athari mbaya kwa kasi inayolingana ya tovuti. Ikiwa si lazima, hakuna sababu ya kuacha matumizi ya mtumiaji.

XNUMX. Je, tovuti inahitaji kusimbwa kwa njia fiche kwa HTTPS?

Ingawa Google na Baidu zote "huangalia HTTPS kwa njia tofauti", hii haimaanishi kwamba wasimamizi wa tovuti wanapaswa kubadilisha itifaki ya tovuti kuwa HTTPS!

Kwanza kabisa, hebu tuzungumze kuhusu Google. Ingawa Google inaendelea kusisitiza kwamba "tovuti zinazotumia teknolojia ya usimbaji fiche ya HTTPS zinaweza kupata viwango bora", haiwezi kutengwa kuwa hii ni "nia ya ziada".

Wachambuzi wa kigeni wamesema kujibu suala hili: sababu iliyoifanya Google kuchukua hatua hii (sasisha kanuni, iwe itumie teknolojia ya usimbaji fiche ya HTTPS kama kipengele cha marejeleo cha viwango vya injini tafuti) inaweza isiwe kuboresha matumizi ya mtumiaji ya utafutaji na Mtandao. suala la usalama ni kurejesha "hasara" katika kashfa ya "Prism Gate". Hiki ni kitendo cha kawaida cha ubinafsi chini ya bendera ya "sacrifice the ego", kushikilia juu bendera ya "Cheo cha Athari za Usalama" na kuimba "HTTPS." kila mahali" ” kauli mbiu, na kisha waruhusu wasimamizi wengi wa wavuti kwa hiari wajiunge na kambi ya itifaki ya HTTPS.

Ikiwa tovuti yako ni yaE-biashara/WechatKwa majukwaa, fedha, mitandao ya kijamii na nyanja zingine, ni vyema kutumia itifaki ya HTTPS; ikiwa ni tovuti ya blogu, tovuti ya matangazo, tovuti ya habari iliyoainishwa, au tovuti ya habari, cheti cha SSL kisicholipishwa kinaweza kutumika.

XNUMX. Je, msimamizi wa tovuti hujengaje tovuti ya HTTPS?

Linapokuja suala la ujenzi wa tovuti za HTTPS, tunapaswa kutaja itifaki ya SSL. SSL ni itifaki ya kwanza ya usalama wa mtandao iliyopitishwa na Netscape. Ni itifaki ya usalama inayotekelezwa kwenye Itifaki ya Mawasiliano ya Usambazaji (TCP/IP). , SSL inatumika kwa wingi. aina mbalimbali za mitandao, huku zikitoa huduma tatu za msingi za usalama, zote hutumia teknolojia ya ufunguo wa umma.

Linapokuja suala la ujenzi wa tovuti za HTTPS, tunapaswa kutaja itifaki ya SSL. SSL ni itifaki ya kwanza ya usalama wa mtandao iliyopitishwa na Netscape. Ni itifaki ya usalama inayotekelezwa kwenye Itifaki ya Mawasiliano ya Usambazaji (TCP/IP). , SSL inatumika kwa wingi. aina mbalimbali za mitandao, huku zikitoa huduma tatu za msingi za usalama, zote hutumia teknolojia ya ufunguo wa umma.

1. Jukumu la SSL

(1) Thibitisha watumiaji na seva ili kuhakikisha kuwa data inatumwa kwa mteja na seva sahihi;

(2) Ficha data ili kuzuia data isiibiwe katikati;

(3) Dumisha uadilifu wa data na uhakikishe kuwa data haibadilishwi wakati wa mchakato wa uwasilishaji.

Cheti cha SSL kinarejelea faili ya dijitali ambayo inathibitisha utambulisho wa wahusika wote wawili katika mawasiliano ya SSL. Kwa ujumla imegawanywa katika cheti cha seva na cheti cha mteja. Cheti cha SSL kwa kawaida tunasema hurejelea cheti cha seva. Cheti cha SSL ni cheti cha seva. iliyotolewa na mamlaka inayoaminika ya cheti cha dijiti CA. (kama vile VeriSign, GlobalSign, WoSign, n.k.), iliyotolewa baada ya kuthibitisha utambulisho wa seva, na uthibitishaji wa seva na utendakazi wa usimbaji wa uwasilishaji wa data, iliyogawanywa katika Uthibitishaji Uliopanuliwa (EV) cheti cha SSL, Cheti cha Uthibitishaji wa Shirika (OV) SSL, na cheti cha uthibitishaji wa jina la kikoa (DV) SSL.

2. Hatua 3 kuu za kutuma maombi ya cheti cha SSL

Kuna hatua tatu kuu za kuomba cheti cha SSL:

(1), tengeneza faili ya CSR

Kinachojulikana kama CSR ni faili ya ombi la cheti cha Ombi la Usalama la Cheti kinachozalishwa na mwombaji. Wakati wa mchakato wa uzalishaji, mfumo utazalisha funguo mbili, moja ni ufunguo wa umma, ambayo ni faili ya CSR, na nyingine ni ufunguo wa kibinafsi, ambayo imehifadhiwa kwenye seva.

Ili kutengeneza faili za CSR, waombaji wanaweza kurejelea hati za WEB SERVER, APACHE ya jumla, n.k., tumia safu ya amri ya OPENSSL kutoa faili KEY+CSR2, Tomcat, JBoss, Resin, n.k. tumia KEYTOOL kutengeneza faili za JKS na CSR, IIS huunda. moja kupitia maombi yanayosubiri mchawi na faili ya CSR.

(2), uthibitisho wa CA

Wasilisha CSR kwa CA, na CA kwa ujumla ina mbinu mbili za uthibitishaji:

① Uthibitishaji wa jina la kikoa: Kwa ujumla, kisanduku cha barua cha msimamizi kimethibitishwa. Njia hii ya uthibitishaji ni ya haraka, lakini cheti kilichotolewa hakina jina la kampuni.

②、 Uthibitishaji wa hati ya biashara: Leseni ya biashara ya biashara inahitaji kutolewa, ambayo kwa ujumla huchukua siku 3-5 za kazi.

Pia kuna vyeti ambavyo vinahitaji kuthibitisha njia mbili zilizo hapo juu kwa wakati mmoja, ambazo huitwa cheti cha EV. Cheti hiki kinaweza kufanya upau wa anwani wa vivinjari vilivyo juu ya IE2 kuwa kijani, kwa hivyo uthibitishaji pia ndio mkali zaidi.

(3), ufungaji wa cheti

Baada ya kupokea cheti kutoka kwa CA, unaweza kupeleka cheti kwenye seva. Kwa ujumla, faili ya APACHE inakili moja kwa moja KEY+CER kwenye faili, na kisha kurekebisha faili ya HTTPD.CONF; TOMCAT, n.k., unahitaji kuleta cheti Faili ya CER iliyotolewa na CA kwenye faili ya JKS. , iinakili kwa seva, na kisha urekebishe SERVER.XML; IIS inahitaji kushughulikia ombi linalosubiri na kuleta faili ya CER.

XNUMX. Pendekezo la cheti cha SSL bila malipo

Utumiaji wa vyeti vya SSL hauwezi tu kuhakikisha usalama wa taarifa, lakini pia kuboresha imani ya mtumiaji katika tovuti.tengeneza tovutiKwa kuzingatia gharama, wasimamizi wengi wa wavuti wamekatishwa tamaa. Bure kwenye Mtandao daima ni soko ambalo halitatoka nje ya mtindo. Kuna nafasi za upangishaji bila malipo, na kwa kawaida kuna vyeti vya bure vya SSL. Hapo awali, iliripotiwa kuwa Mozilla, Cisco, Akamai , IdenTrust, EFF, na watafiti katika Chuo Kikuu cha Michigan wataanza mradi wa Let's Encrypt CA, ambao unapanga kutoa cheti cha SSL bila malipo na huduma za usimamizi wa cheti kwa tovuti kuanzia msimu huu wa kiangazi (kumbuka: ikiwa unahitaji vyeti vya juu zaidi na ngumu, utahitaji haja ya kulipa), na wakati huo huo , pia hupunguza utata wa ufungaji wa cheti, wakati wa ufungaji ni sekunde 20-30 tu.

Mara nyingi ni tovuti kubwa na za ukubwa wa kati zinazohitaji vyeti changamano, na tovuti ndogo kama vile blogu za kibinafsi zinaweza kujaribu vyeti vya bure vya SSL kwanza.

Chini niChen WeiliangBlogu itakuletea vyeti kadhaa vya bure vya SSL, kama vile: CloudFlare SSL, NameCheap, n.k.

1. CloudFlare SSL

CloudFlare ni tovuti nchini Marekani inayotoa huduma za CDN.Inayo nodi zake za seva za CDN duniani kote.Kampuni nyingi kubwa au tovuti za nyumbani na nje ya nchi zinatumia huduma za CDN za CloudFlare. Bila shaka, zinazotumiwa zaidi na wasimamizi wa tovuti wa nyumbani. ni CDN isiyolipishwa ya CloudFlare. Pia ni nzuri sana. Cheti cha bure cha SSL kilichotolewa na CloudFlare ni UniversalSSL, yaani, SSL ya wote. Watumiaji wanaweza kutumia cheti cha SSL bila kutuma maombi na kusanidi cheti kutoka kwa mamlaka ya cheti. CloudFlare hutoa usimbaji fiche wa SSL kwa watumiaji wote (ikiwa ni pamoja na watumiaji wasiolipishwa), kiolesura cha wavuti Cheti huwekwa ndani ya dakika 5, na utumaji kiotomatiki unakamilika ndani ya saa 24, kutoa huduma ya usimbaji fiche ya TLS kulingana na Algorithm ya Sahihi ya Elliptic Curve Digital (ECDSA) kwa trafiki ya tovuti.

2. JinaNafuu

NameCheap ni kampuni inayoongoza ya usajili wa jina la kikoa iliyoidhinishwa na ICANN na kampuni ya mwenyeji wa tovuti, iliyoanzishwa mnamo 2000, kampuni hutoa azimio la bure la DNS, usambazaji wa URL (inaweza kuficha URL asili, kusaidia uelekezaji upya wa 301) na huduma zingine, kwa kuongeza, NameCheap pia hutoa Miaka ya huduma ya bure ya cheti cha SSL.

3. Hebu Tusimbe kwa Njia Fiche

Let's Encrypt ni mradi wa utoaji wa cheti cha SSL bila malipo ambao ni maarufu sana hivi majuzi. Let's Encrypt ni mradi usiolipishwa wa ustawi wa umma unaotolewa na ISRG, ambao hutoa vyeti kiotomatiki, lakini cheti ni halali kwa siku 90 pekee.Inafaa kwa matumizi ya kibinafsi au matumizi ya muda, na haihitaji tena kuvumilia kuhimizwa kwamba cheti cha kujiandikisha hakiaminiwi na kivinjari.

kwa kweli,Chen WeiliangBlogu pia inapanga kutumia Let's Encrypt hivi karibuni ^_^

Wacha Tusimbe mafunzo ya bure ya cheti cha SSL, tafadhali rejelea nakala hii kwa maelezo:"Jinsi ya kutuma ombi la Let's Encrypt"