Ano ang pagkakaiba ng http vs https? Detalyadong paliwanag ng proseso ng SSL encryption

Sa mabilis na pag-unlad ng Internet, ginagawa ng ilang tao ang gusto nilaMarketing ng WeChat,Pag-promote ng pampublikong account, pero nagrereklamopagmemerkado gamit ang internethindi gumagana, talagabagong mediaAng pinakamahusay na paraan para sa mga tao na gawin ang pagmemerkado sa Internet ay sa pamamagitan ng mga search enginekanalang halaga.

Samakatuwid, ang mga search engine ay ang pinakasikat sa kasalukuyanPromosyon sa Webisa sa mga paraan.

Bukod dito, ang mga search engine na Google at Baidu ay nagpahayag sa publiko na ang https ay kasama sa mekanismo ng pagraranggo ng search engine.

lalo naE-commercePara sa mga website, inirerekomendang gamitin ang https encryption protocol, na hindi lamang nakakatulong upang mapabuti ang mga ranggo, ngunit tumutulong din sa mga user na maranasan ang website nang ligtas.

Ang Hypertext Transfer Protocol HTTP protocol ay ginagamit upang maglipat ng impormasyon sa pagitan ng isang web browser at isang web server. Ang HTTP protocol ay nagpapadala ng nilalaman sa malinaw na teksto at hindi nagbibigay ng anumang anyo ng pag-encrypt ng data. Kung ang isang attacker ay humarang sa koneksyon sa pagitan ng web browser at ng web server Samakatuwid, ang HTTP protocol ay hindi angkop para sa pagpapadala ng ilang sensitibong impormasyon, tulad ng numero ng credit card, password at iba pang impormasyon sa pagbabayad.

Upang malutas ang depektong ito ng HTTP protocol, kailangang gumamit ng isa pang protocol: ang secure na socket layer hypertext transfer protocol HTTPS. Para sa seguridad ng pagpapadala ng data, idinaragdag ng HTTPS ang SSL protocol sa HTTP, at umaasa ang SSL sa mga certificate upang patotohanan ang server. , at i-encrypt ang komunikasyon sa pagitan ng browser at ng server.

XNUMX. Mga pangunahing konsepto ng HTTP at HTTPS

HTTP: ay ang pinakamalawak na ginagamit na network protocol sa Internet. Ito ay isang client-side at server-side request at response standard (TCP), na ginagamit upang magpadala ng hypertext mula sa isang WWW server patungo sa isang lokal na browser. Ang server ay higit pa mahusay, na nagreresulta sa mas kaunting paglilipat ng network.

HTTPS: Ito ay isang secure na HTTP channel. Sa madaling salita, ito ay isang secure na bersyon ng HTTP, iyon ay, pagdaragdag ng isang SSL layer sa HTTP. Ang seguridad na pundasyon ng HTTPS ay SSL, kaya ang detalyadong nilalaman ng pag-encrypt ay nangangailangan ng SSL.

Ang mga pangunahing pag-andar ng HTTPS protocol ay maaaring nahahati sa dalawang uri: ang isa ay upang magtatag ng isang channel ng seguridad ng impormasyon upang matiyak ang seguridad ng paghahatid ng data; ang isa ay upang kumpirmahin ang pagiging tunay ng website.

XNUMX. Ano ang pagkakaiba sa pagitan ng HTTP at HTTPS?

Ang data na ipinadala ng HTTP protocol ay hindi naka-encrypt, iyon ay, sa plaintext. Samakatuwid, napaka-insecure na gamitin ang HTTP protocol upang magpadala ng pribadong impormasyon. Upang matiyak na ang pribadong data na ito ay maaaring ma-encrypt at maipadala, idinisenyo ng Netscape ang SSL (Secure Sockets Layer) protocol para sa HTTPS ay ipinanganak upang i-encrypt ang data na ipinadala ng HTTP protocol.

Sa madaling salita, ang HTTPS protocol ay isang network protocol na binuo ng SSL+HTTP protocol na maaaring magsagawa ng naka-encrypt na transmission at identity authentication, at mas secure kaysa sa http protocol.

Ang mga pangunahing pagkakaiba sa pagitan ng HTTPS at HTTP ay ang mga sumusunod:

• 1. Ang https protocol ay kailangang pumunta sa ca upang mag-aplay para sa isang sertipiko. Sa pangkalahatan, kakaunti ang mga libreng sertipiko, kaya nangangailangan ng isang tiyak na bayad.
• 2. Ang http ay isang hypertext transfer protocol, ang impormasyon ay ipinapadala sa plaintext, at ang https ay isang secure na ssl encrypted transfer protocol.
• 3. Ang http at https ay gumagamit ng ganap na magkaibang paraan ng koneksyon at gumagamit ng iba't ibang port. Ang una ay 80 at ang huli ay 443.
• 4. Ang koneksyon ng http ay napaka-simple at walang estado, ang HTTPS protocol ay isang network protocol na binuo ng SSL+HTTP protocol na maaaring magsagawa ng naka-encrypt na transmission at identity authentication, na mas ligtas kaysa sa http protocol.

XNUMX. Detalyadong paliwanag ng proseso ng pag-encrypt ng HTTPS at SSL

Alam nating lahat na ang HTTPS ay maaaring mag-encrypt ng impormasyon upang maiwasan ang sensitibong impormasyon na makuha ng mga ikatlong partido, kaya maraming mga website sa pagbabangko o e-mail at iba pang mga serbisyo na may mas mataas na antas ng seguridad ang gagamit ng HTTPS protocol.

1. Nagsisimula ang kliyente ng kahilingan sa HTTPS

Ito ay walang sasabihin, iyon ay, ang gumagamit ay nagpasok ng isang https URL sa browser, at pagkatapos ay kumokonekta sa port 443 ng server.

2. Configuration ng server

Ang server na gumagamit ng HTTPS protocol ay dapat magkaroon ng isang set ng mga digital na certificate, na maaaring gawin ng iyong sarili o ilapat sa organisasyon. Ang pagkakaiba ay ang certificate na ibinigay mo mismo ay kailangang ma-verify ng kliyente bago ka makapagpatuloy sa pag-access, habang ang sertipiko na inilapat ng isang pinagkakatiwalaang kumpanya ay hindi. Isang prompt na pahina ang lalabas.

Ang certificate na ito ay talagang isang pares ng pampublikong susi at pribadong susi. Kung hindi mo naiintindihan ang pampublikong susi at pribadong susi, maaari mong isipin ito bilang isang susi at kandado, ngunit ikaw lamang ang tao sa mundo na mayroon nito key. Maaari mong i-lock ang lock. Ibigay ito sa iba, magagamit ng iba ang lock na ito para i-lock ang mahahalagang bagay, at pagkatapos ay ipadala ito sa iyo, dahil ikaw lang ang may ganitong susi, kaya ikaw lang ang makakakita ng mga bagay na naka-lock ng lock na ito.

3. Ipadala ang sertipiko

Ang certificate na ito ay talagang ang pampublikong susi, ngunit naglalaman ng maraming impormasyon, tulad ng awtoridad ng sertipiko, oras ng pag-expire, at iba pa.

4. Sertipiko ng pag-parse ng kliyente

Ang bahaging ito ng trabaho ay ginagawa ng TLS ng kliyente. Una, ibe-verify nito kung wasto ang pampublikong susi, gaya ng awtoridad na nag-isyu, oras ng pag-expire, atbp. Kung may nakitang exception, may lalabas na kahon ng babala, na nagpapahiwatig na may problema sa certificate.

Kung walang problema sa sertipiko, pagkatapos ay bumuo ng isang random na halaga, at pagkatapos ay i-encrypt ang random na halaga gamit ang sertipiko, tulad ng nabanggit sa itaas, i-lock ang random na halaga gamit ang isang lock, upang maliban kung mayroong isang susi, hindi mo makita ang naka-lock nilalaman ng halaga.

5. Paghahatid ng naka-encrypt na impormasyon

Ang bahaging ito ay nagpapadala ng random na halaga na naka-encrypt gamit ang certificate. Ang layunin ay upang hayaan ang server na makuha ang random na halaga na ito, at pagkatapos ay ang komunikasyon sa pagitan ng kliyente at ng server ay maaaring ma-encrypt at ma-decrypt sa pamamagitan ng random na halaga na ito.

6. Impormasyon sa pag-decryption ng segment ng serbisyo

Pagkatapos mag-decrypt ng server gamit ang pribadong key, nakukuha nito ang random na halaga (pribadong key) na ipinadala ng kliyente, at pagkatapos ay i-encrypt ang nilalaman nang simetriko sa pamamagitan ng halaga. Sa ganitong paraan, maliban kung ang pribadong key ay kilala, ang nilalaman ay hindi makukuha, at parehong alam ng kliyente at ng server ang pribadong susi, kaya hangga't sapat na malakas ang algorithm ng pag-encrypt at sapat na kumplikado ang pribadong key, sapat na ligtas ang data.

7. Paghahatid ng naka-encrypt na impormasyon

Ang bahaging ito ng impormasyon ay ang impormasyong naka-encrypt ng pribadong key ng segment ng serbisyo at maaaring ibalik sa panig ng kliyente.

8. Impormasyon sa pag-decryption ng kliyente

Idini-decrypt ng kliyente ang impormasyong ipinadala ng segment ng serbisyo gamit ang dati nang nabuong pribadong key, at sa gayon ay nakukuha ang na-decrypt na nilalaman. Kahit na sinusubaybayan ng third party ang data sa buong proseso, ito ay walang magawa.

Pang-apat, ang saloobin ng mga search engine sa HTTPS

Inilunsad ng Baidu ang isang buong site na HTTPS na naka-encrypt na serbisyo sa paghahanap upang malutas ang "third party" na pagsinghot at pag-hijack ng privacy ng user. Sa katunayan, noong Mayo 2010, nagsimula ang Google na magbigay ng HTTPS na naka-encrypt na serbisyo sa paghahanap, na nag-crawl sa mga web page ng HTTPS. Sa isyu, sinabi ng Baidu sa isang anunsyo noong Setyembre 5 na "Hindi aktibong iko-crawl ng Baidu ang mga web page ng HTTPS", habang sinabi ng Google sa pag-update ng algorithm na "sa ilalim ng parehong mga kundisyon, ang mga site na gumagamit ng teknolohiya ng pag-encrypt ng HTTPS ay magkakaroon ng mas mahusay na mga ranggo sa paghahanap. Kalamangan."

Kaya, sa malaking kapaligirang ito, dapat bang gamitin ng mga webmaster ang "peligroso" na protocol ng HTTPS? HTTPS para sa mga search engineSEOPaano ang epekto?

1. saloobin ng Google

Ang saloobin ng Google sa pagsasama ng mga HTTPS na site ay walang pinagkaiba sa mga HTTP na site, at kahit na ang "gamitin ba ang secure na pag-encrypt" (HTTPS) bilang reference factor sa search ranking algorithm. Ang mga website na gumagamit ng HTTPS encryption technology ay maaaring makakuha ng mas magagandang resulta. Mayroong higit pang mga pagkakataon sa pagpapakita, at ang pagraranggo ay mas kapaki-pakinabang din kaysa sa mga HTTP na site ng mga katulad na site.

At nilinaw ng Google na "umaasa ito na magagamit ng lahat ng webmaster ang HTTPS protocol sa halip na HTTP", na nagpapakita ng determinasyon nitong makamit ang layunin ng "HTTPS kahit saan".

2. saloobin ni Baidu

Noong nakaraan, medyo atrasado ang teknolohiya ng Baidu, na nagsasabing "hindi ito aktibong magko-crawl sa mga pahina ng https", ngunit ito rin ay "nag-aalala" tungkol sa "maraming https na mga pahina ang hindi maaaring isama". Hanggang Setyembre 2014, 9, tinalakay ng Baidu ang "Paano bumuo ng https na mga site upang makamit ang layunin". Isang artikulo ang nai-publish sa isyu ng "Friendly to Baidu", na nagbibigay ng apat na mungkahi at mga partikular na aksyon upang "pahusayin ang Baidu-friendly ng mga https site":

1. Gawing naa-access ang http na mga bersyon para sa mga pahinang https na kailangang ma-index ng Baidu search engine.

2. Hatulan ang bisita sa pamamagitan ng user-agent, at itakda ang BaiAng duspider ay nakadirekta sa pahina ng http. Kapag binisita ng mga ordinaryong user ang pahina sa pamamagitan ng Baidu search engine, ire-redirect sila sa kaukulang pahina ng https sa pamamagitan ng 301.Gaya ng ipinapakita sa figure, ang larawan sa itaas ay nagpapakita ng http na bersyon na kasama sa Baidu, at ang ibabang larawan ay nagpapakita na ang mga user ay awtomatikong lalabas sa https na bersyon pagkatapos mag-click.

3. Ang bersyon ng http ay hindi lamang ginawa para sa homepage, kailangan ding gawin ang iba pang mahahalagang pahina gamit ang bersyon ng http at naka-link sa isa't isa. Huwag gawin ito: ang link sa homepage na http page ay naka-link pa rin sa pahina ng https , na nagpapahirap sa Baiduspider na magpatuloy sa pag-crawl—— Nakatagpo kami ng ganoong sitwasyon na maaari lamang naming isama ang isang home page para sa buong site.

4. Ang ilang nilalaman na hindi kailangang i-encrypt, tulad ng impormasyon, ay maaaring dalhin ng pangalawang antas na pangalan ng domain.HalimbawaAlipayAng site, ang pangunahing naka-encrypt na nilalaman ay inilalagay sa https, ang nilalaman na maaaring direktang makuha ng Baiduspider ay inilalagay sa pangalawang antas na pangalan ng domain.

Ayon sa pagsubok ng Computer Science House sa link sa ibaba, tumatagal ng 114 milliseconds upang makabuo ng isang koneksyon sa HTTP; ito ay tumatagal ng 436 milliseconds upang makabuo ng isang koneksyon sa HTTPS, at 322 milliseconds para sa ssl part, kabilang ang network delay at ang overhead ng pag-encrypt at pag-decryption ng ssl mismo (ang server ayon sa impormasyon ng kliyente. humihiling sa kliyente ng digital signature at public key).

XNUMX. Gaano karaming mga mapagkukunan ang kinokonsumo ng HTTPS kaysa sa HTTP?

Ang HTTPS ay talagang isang HTTP protocol na binuo sa ibabaw ng SSL/TLS. Samakatuwid, upang ihambing kung gaano karaming mga mapagkukunan ng server ang ginagamit ng HTTPS kaysa sa HTTP,Chen WeiliangSa tingin ko ito ay higit sa lahat ay nakasalalay sa kung gaano karaming mga mapagkukunan ng server ang natupok ng SSL/TLS mismo.

Ginagamit ng HTTP ang TCP na three-way handshake para magtatag ng koneksyon, at ang kliyente at server ay kailangang magpalitan ng 3 packet;

Bilang karagdagan sa tatlong packet ng TCP, kailangan din ng HTTPS na magdagdag ng 9 na packet na kinakailangan para sa ssl handshake, kaya mayroong 12 packet sa kabuuan.

Pagkatapos maitatag ang SSL na koneksyon, ang kasunod na paraan ng pag-encrypt ay magiging isang simetriko na paraan ng pag-encrypt tulad ng 3DES, na may mas magaan na pag-load ng CPU. maaaring balewalain. , kaya darating ang problema. Kung madalas mong bubuo ang ssl session, ang epekto sa pagganap ng server ay mamamatay. Bagama't ang pagbubukas ng HTTPS keep-alive ay maaaring magpakalma sa problema sa pagganap ng isang koneksyon, hindi ito angkop para sa malakihang mga website na may malaking bilang ng mga kasabay na user. , isang independiyenteng SSL termination proxy batay sa load sharing ay mahalaga. Ang serbisyo sa Web ay inilalagay pagkatapos ng SSL termination proxy. Ang SSL termination proxy ay maaaring hardware-based, gaya ng F5; o maaari itong batay sa软件Oo, halimbawa, ang Wikipedia ay gumagamit ng Nginx.

Pagkatapos gamitin ang HTTPS, gaano pa karaming mga mapagkukunan ng server ang gagamitin, Enero 2010GmailAng paglipat sa ganap na paggamit ng HTTPS, ang CPU load ng front-end processing SSL machine ay hindi tataas ng higit sa 1%, ang memory consumption ng bawat koneksyon ay mas mababa sa 20KB, at ang trapiko sa network ay tataas ng mas mababa sa 2% . Dahil ang Gmail ay dapat gumamit ng N server para sa distributed processing, kaya ang CPU load data ay walang gaanong reference significance. Ang memory consumption at network traffic data ng bawat koneksyon ay may reference significance. Inililista din ng artikulong ito na ang isang core ay humahawak ng humigit-kumulang 1500 handshakes bawat segundo (para sa 1024-bit RSA). ), ang data na ito ay napaka-kaalaman.

XNUMX. Mga kalamangan ng HTTPS

Ito ay tiyak na dahil ang HTTPS ay napaka-secure na ang mga umaatake ay hindi makakahanap ng lugar upang magsimula. Mula sa pananaw ng mga webmaster, ang mga bentahe ng HTTPS ay ang mga sumusunod:

1. Mga aspeto ng SEO

Inayos ng Google ang algorithm ng search engine nito noong Agosto 2014, na nagsasabing "ang isang site na naka-encrypt gamit ang HTTPS ay mas mataas ang ranggo sa mga resulta ng paghahanap kaysa sa isang katumbas na HTTP site."

2. Seguridad

Bagama't hindi ganap na secure ang HTTPS, ang mga organisasyong nakakabisado sa mga root certificate at mga organisasyong nakakabisa sa mga algorithm ng pag-encrypt ay maaari ding magsagawa ng mga man-in-the-middle na pag-atake, ngunit ang HTTPS pa rin ang pinakasecure na solusyon sa ilalim ng kasalukuyang arkitektura, na may mga sumusunod na pakinabang:

(1) Gamitin ang HTTPS protocol upang patotohanan ang mga user at server upang matiyak na ang data ay ipinapadala sa tamang kliyente at server;

(2) Ang HTTPS protocol ay isang network protocol na binuo ng SSL+HTTP protocol na maaaring magsagawa ng naka-encrypt na transmission at identity authentication. integridad ng data.

(3) Ang HTTPS ay ang pinakasecure na solusyon sa ilalim ng kasalukuyang arkitektura. Bagama't hindi ito ganap na secure, lubos nitong pinapataas ang halaga ng mga man-in-the-middle na pag-atake.

XNUMX. Mga disadvantages ng HTTPS

Bagama't may malalaking pakinabang ang HTTPS, mayroon pa rin itong ilang mga pagkukulang. Sa partikular, mayroong sumusunod na dalawang puntos:

1. Mga aspeto ng SEO

Ayon sa data ng ACM CoNEXT, ang paggamit ng HTTPS protocol ay magpapahaba sa oras ng paglo-load ng page ng halos 50% at tataas ang konsumo ng kuryente ng 10% hanggang 20%. Bilang karagdagan, ang HTTPS protocol ay makakaapekto rin sa cache, magpapataas ng overhead ng data at kapangyarihan. pagkonsumo, at maging ang umiiral na Mga Panukala sa seguridad ay maaapektuhan din at maaapektuhan nang naaayon.

Bukod dito, ang saklaw ng pag-encrypt ng HTTPS protocol ay medyo limitado, at ito ay may maliit na epekto sa mga pag-atake ng hacker, pagtanggi sa mga pag-atake ng serbisyo, at pag-hijack ng server.

Pinakamahalaga, ang sistema ng credit chain ng mga SSL certificate ay hindi secure, lalo na kapag ang ilang mga bansa ay maaaring kontrolin ang CA root certificate, ang mga man-in-the-middle na pag-atake ay magagawa din.

2. Mga aspetong pang-ekonomiya

(1) Ang mga SSL certificate ay nangangailangan ng pera. Kung mas malakas ang certificate, mas mataas ang gastos. Ang mga personal na website ay maaaring gumamit ng mga libreng SSL certificate.

(2) Karaniwang kailangang itali sa IP ang mga SSL certificate, at hindi maaaring itali ang maraming domain name sa iisang IP. Hindi masusuportahan ng mga mapagkukunan ng IPv4 ang pagkonsumo na ito (May mga extension ang SSL na bahagyang makakalutas sa problemang ito, ngunit nakakagulo ito at nangangailangan ng mga browser, operasyon Suporta ng system, hindi sinusuportahan ng Windows XP ang extension na ito, isinasaalang-alang ang naka-install na base ng XP, ang tampok na ito ay halos walang silbi).

(3) Ang pag-cache ng koneksyon sa HTTPS ay hindi kasinghusay ng HTTP, at hindi ito gagamitin ng mga website na may mataas na trapiko maliban kung kinakailangan, at masyadong mataas ang gastos sa trapiko.

(4) Higit na mas mataas ang pagkonsumo ng mapagkukunan sa panig ng server ng koneksyon sa HTTPS, at ang pagsuporta sa mga website na may kaunti pang mga bisita ay nangangailangan ng mas malaking gastos. Kung gagamitin ang lahat ng HTTPS, ang average na halaga ng VPS batay sa pag-aakalang karamihan sa mga mapagkukunan sa pag-compute ay idle aakyat.

(5) Ang yugto ng handshake ng HTTPS protocol ay matagal at may negatibong epekto sa kaukulang bilis ng website. Kung hindi ito kinakailangan, walang dahilan upang isakripisyo ang karanasan ng user.

XNUMX. Kailangan ba ng website na gumamit ng HTTPS encryption?

Bagama't parehong "iba ang tingin sa HTTPS" ng Google at Baidu, hindi ito nangangahulugan na dapat i-convert ng mga webmaster ang protocol ng website sa HTTPS!

Una sa lahat, pag-usapan natin ang tungkol sa Google. Bagama't patuloy na binibigyang-diin ng Google na "ang mga website na gumagamit ng teknolohiya ng pag-encrypt ng HTTPS ay maaaring makakuha ng mas mahusay na mga ranggo", hindi maitatanggi na ito ay isang "ulterior motive" na hakbang.

Minsang sinabi ng mga dayuhang analyst bilang tugon sa isyung ito: ang dahilan kung bakit ginawa ng Google ang hakbang na ito (i-update ang algorithm, kung gagamitin ang teknolohiya ng pag-encrypt ng HTTPS bilang isang reference factor para sa pagraranggo ng search engine) ay maaaring hindi upang mapabuti ang karanasan sa paghahanap at Internet ng user. Ang isyu sa seguridad ay para lamang mabawi ang "pagkatalo" sa eskandalo ng "Prism Gate." Ito ay isang tipikal na makasariling hakbang sa ilalim ng banner ng "sacrifice the ego", na may hawak na mataas na banner ng "Security Impact Ranking" at umaawit ng "HTTPS kahit saan" " slogan, at pagkatapos ay walang kahirap-hirap na hayaan ang karamihan ng mga webmaster na kusang sumali sa HTTPS protocol camp.

Kung ang iyong website ay kabilang saE-commerce/WechatSa larangan ng mga platform, pananalapi, social network, atbp., pinakamahusay na gumamit ng HTTPS protocol; kung ito ay isang blog site, isang promotional site, isang classified information site, o isang news site, maaari kang gumamit ng isang libreng SSL sertipiko.

XNUMX. Paano gumagawa ang isang webmaster ng isang HTTPS site?

Pagdating sa pagtatayo ng mga site ng HTTPS, kailangan nating banggitin ang SSL protocol. Ang SSL ang unang network security protocol na pinagtibay ng Netscape. Ito ay isang security protocol na ipinatupad sa Transmission Communication Protocol (TCP/IP), gamit ang public key technology , malawak na sinusuportahan ng SSL ang iba't ibang uri ng mga network, habang nagbibigay ng tatlong pangunahing serbisyo sa seguridad, lahat sila ay gumagamit ng pampublikong key na teknolohiya.

Pagdating sa pagtatayo ng mga site ng HTTPS, kailangan nating banggitin ang SSL protocol. Ang SSL ang unang network security protocol na pinagtibay ng Netscape. Ito ay isang security protocol na ipinatupad sa Transmission Communication Protocol (TCP/IP), gamit ang public key technology , malawak na sinusuportahan ng SSL ang iba't ibang uri ng mga network, habang nagbibigay ng tatlong pangunahing serbisyo sa seguridad, lahat sila ay gumagamit ng pampublikong key na teknolohiya.

1. Ang papel ng SSL

(1) Authenticate ang mga user at server upang matiyak na ang data ay ipinapadala sa tamang kliyente at server;

(2) I-encrypt ang data upang maiwasan ang pagnanakaw ng data sa kalagitnaan;

(3) Panatilihin ang integridad ng data at tiyaking hindi mababago ang data sa panahon ng proseso ng paghahatid.

Ang isang SSL certificate ay tumutukoy sa isang digital na file na nagpapatunay sa mga pagkakakilanlan ng magkabilang partido sa SSL na komunikasyon. Ito ay karaniwang nahahati sa isang server certificate at isang client certificate. Ang SSL certificate na karaniwan naming sinasabi ay pangunahing tumutukoy sa server certificate. Ang SSL certificate ay na inisyu ng isang pinagkakatiwalaang awtoridad sa digital na certificate na CA. (gaya ng VeriSign, GlobalSign, WoSign, atbp.), na ibinigay pagkatapos ma-verify ang pagkakakilanlan ng server, na may pagpapatunay ng server at mga function ng pag-encrypt ng paghahatid ng data, na nahahati sa Extended Validation (EV) SSL certificate, Organization Validation (OV) SSL certificate, at domain name verification Type (DV) SSL certificate.

2. 3 pangunahing hakbang para mag-apply para sa isang SSL certificate

Mayroong tatlong pangunahing hakbang upang mag-aplay para sa isang SSL certificate:

(1), gumawa ng CSR file

Ang tinatawag na CSR ay ang Certificate Secure Request certificate request file na ginawa ng aplikante. Sa panahon ng proseso ng produksyon, bubuo ang system ng dalawang key, ang isa ay ang public key, na CSR file, at ang isa ay ang private key, na nakaimbak sa server.

Upang gumawa ng mga CSR file, maaaring sumangguni ang mga aplikante sa mga dokumento ng WEB SERVER, pangkalahatang APACHE, atbp., gamitin ang command line ng OPENSSL upang makabuo ng KEY+CSR2 file, Tomcat, JBoss, Resin, atbp. gumamit ng KEYTOOL upang makabuo ng JKS at CSR file, gumagawa ang IIS isang nakabinbing kahilingan at isang CSR file.

(2), sertipikasyon ng CA

Isumite ang CSR sa CA, at ang CA sa pangkalahatan ay may dalawang paraan ng pagpapatunay:

①. Pagpapatunay ng pangalan ng domain: Sa pangkalahatan, ang mailbox ng administrator ay napatotohanan. Mabilis ang pamamaraang ito, ngunit ang ibinigay na sertipiko ay hindi naglalaman ng pangalan ng enterprise.

② Sertipikasyon ng dokumento ng negosyo: Ang lisensya ng negosyo ng negosyo ay kailangang ibigay, na karaniwang tumatagal ng 3-5 araw ng trabaho.

Mayroon ding mga certificate na kailangang i-authenticate ang dalawang pamamaraan sa itaas nang sabay-sabay, na tinatawag na EV certificate. Ang certificate na ito ay maaaring gawing berde ang address bar ng mga browser sa itaas ng IE2, kaya ang pagpapatunay din ang pinakamahigpit.

(3), ang pag-install ng sertipiko

Pagkatapos matanggap ang certificate mula sa CA, maaari mong i-deploy ang certificate sa server. Sa pangkalahatan, direktang kinokopya ng APACHE file ang KEY+CER sa file, at pagkatapos ay babaguhin ang HTTPD.CONF file; TOMCAT, atbp., kailangang i-import ang certificate na CER file na inisyu ng CA sa JKS file. , kopyahin ito sa server, at pagkatapos ay baguhin ang SERVER.XML; Kailangang iproseso ng IIS ang nakabinbing kahilingan at i-import ang CER file.

XNUMX. Libreng rekomendasyon sa SSL certificate

Ang paggamit ng isang SSL certificate ay hindi lamang masisiguro ang seguridad ng impormasyon, ngunit mapabuti din ang tiwala ng gumagamit sa website, ngunit sa view ngBumuo ng istasyonIsinasaalang-alang ang gastos, maraming mga webmaster ang nasiraan ng loob mula dito. Ang libre sa Internet ay palaging isang merkado na hindi mawawala sa istilo. May mga libreng puwang sa pagho-host, at natural na mayroong mga libreng SSL certificate. Nauna rito, naiulat na ang Mozilla, Cisco , Akamai , IdenTrust, EFF, at mga mananaliksik sa Unibersidad ng Michigan ay sisimulan ang proyektong Let's Encrypt CA, na nagpaplanong magbigay ng mga libreng SSL certificate at mga serbisyo sa pamamahala ng certificate para sa mga website simula ngayong tag-init (tandaan: kung kailangan mo ng mas advanced na kumplikadong mga certificate, ikaw ay kailangang magbayad), at sa parehong oras , binabawasan din ang pagiging kumplikado ng pag-install ng sertipiko, ang oras ng pag-install ay 20-30 segundo lamang.

Kadalasan ay malaki at katamtamang laki ng mga website na nangangailangan ng mga kumplikadong sertipiko, at ang maliliit na site tulad ng mga personal na blog ay maaaring subukan muna ang mga libreng SSL certificate.

Sa ibaba ayChen WeiliangIpapakilala sa iyo ng blog ang ilang libreng SSL certificate, tulad ng: CloudFlare SSL, NameCheap, atbp.

1. CloudFlare SSL

Ang CloudFlare ay isang website sa United States na nagbibigay ng mga serbisyo ng CDN. Mayroon itong sariling mga CDN server node sa buong mundo. Maraming malalaking kumpanya o website sa loob at ibang bansa ang gumagamit ng mga serbisyo ng CDN ng CloudFlare. Siyempre, ang pinakakaraniwang ginagamit ng mga domestic webmaster ay ang libreng CDN ng CloudFlare. Napakahusay din nito. Ang libreng SSL certificate na ibinigay ng CloudFlare ay UniversalSSL, iyon ay, universal SSL, isang SSL certificate na magagamit ng mga user nang hindi nag-a-apply at nag-configure ng certificate mula sa isang certificate authority. Nagbibigay ang CloudFlare ng SSL encryption sa lahat ng user (kabilang ang mga libreng user), web interface Ang certificate ay naka-set up sa loob ng 5 minuto, at ang awtomatikong pag-deploy ay nakumpleto sa loob ng 24 na oras, na nagbibigay ng serbisyo sa pag-encrypt ng TLS batay sa Elliptic Curve Digital Signature Algorithm (ECDSA) para sa trapiko sa website.

2. NameCheap

Ang NameCheap ay isang nangungunang ICANN-accredited domain name registration at website hosting company, na itinatag noong 2000, ang kumpanya ay nagbibigay ng libreng DNS resolution, URL forwarding (maaaring itago ang orihinal na URL, suportahan ang 301 redirection) at iba pang mga serbisyo, bilang karagdagan, ang NameCheap ay nagbibigay din ng isang Taon ng libreng serbisyo ng SSL certificate.

3. I-encrypt Natin

Ang Let's Encrypt ay isang sikat na libreng SSL certificate issuance project kamakailan. Ang Let's Encrypt ay isang libre at libreng public welfare project na ibinibigay ng ISRG, na awtomatikong nagbibigay ng mga certificate, ngunit ang certificate ay valid lang sa loob ng 90 araw.Angkop para sa personal na paggamit o pansamantalang paggamit, hindi na kailangang tiisin ang prompt na ang mga self-signed certificate ay hindi pinagkakatiwalaan ng mga browser.

sa katunayan,Chen WeiliangPinaplano din ng blog na gamitin ang Let's Encrypt kamakailan ^_^

Let's Encrypt free SSL certificate application tutorial, mangyaring sumangguni sa artikulong ito para sa mga detalye:"Paano mag-apply para sa Let's Encrypt"