企業如何選擇最佳的SSL

如果你的企業有意采購SSL，那麽本文可以給一個很好的方向。在本文中，我們將先簡要介紹SSL定義及其工作原理，並探討目前各種可用的SSL證書類型以及企業如何選擇最佳的SSL。

SSL定義

SSL及傳輸層安全協議(TLS)是在服務器和互聯網客戶端之間創建加密鏈接的安全協議，通常是在Web服務器和Web浏覽器之間。它們還用在電子郵件服務器及其客戶端之間。加密鏈接可保護服務器和客戶端之間傳輸的數據(例如登錄憑證和信用卡號碼)，防止竊聽、中間人攻擊以及類似威脅。

雖然創建加密鏈接的工具仍然被稱爲SSL加密工具，但由于漏洞問題，SSL及早期版本的TLS已不再被認爲是安全的協議。現在最佳SSL做法會采用TLS 1.2(或更高版本)，這是目前用于創建安全加密鏈接的標准技術。

SSL工作原理

爲了創建安全連接，服務器和浏覽器需要證書頒發機構(CA)向企業頒發SSL證書。CA是可信的第三方，其證書會驗證企業的身份是否已經認證。(盡管任何人都可以創建證書，但Web浏覽器面對證書時會檢查其受信任的CA列表;爲避免安全相關的錯誤消息，證書必須來自受信任的CA。)SSL證書包含企業機構的名稱、域名、物理地址以及證書的過期日期，還有有關CA本身的信息。

爲了開啓這一過程，管理員必須激活Web服務器的SSL/TLS，創建一個證書簽名請求(CSR)文件，並填寫該證書所需要的企業信息。這個時候，服務器會創建兩個加密密鑰：私鑰和公鑰。公鑰包含在CSR文件中，其中會將企業的信息關聯到該密鑰，然後管理員會發送完整文件給CA，CA驗證文件中的信息並發布SSL證書。接著，接收Web服務器會將證書與私鑰進行比較。(CA沒有對私鑰的訪問權限;只有請求SSL證書的企業持有私鑰。)

請注意，爲了獲得最高水平的安全性，企業應該至少使用2048位私鑰：小位數的密鑰已經被破解。現在很多企業都選擇4096位密鑰，但需要注意的是，現在有些智能卡和讀卡器還不支持超過2048位的密鑰。

使用SSL證書可在服務器和浏覽器之間建立信任關系，而建立信任的過程涉及交換身份信息、SSL證書和密鑰，這被稱爲SSL握手。當Web浏覽器請求連接到Web服務器上的安全網頁時(通過在浏覽器的地址欄輸入地址)，服務器會發送SSL證書的副本和公鑰到浏覽器。然後，浏覽器會針對其信任CA列表來檢查該證書，以驗證該證書是來自可信方，驗證證書的有效性(有沒有過期)以及證書正在被對應的網站在使用。如果浏覽器信任證書，它會發送消息回Web服務器，服務器會返回確認來啓動SSL加密會話，這意味著用戶可通過這個連接安全地發送機密信息。

Web浏覽器會在浏覽器中顯示挂鎖服務，並在地址欄使用https，讓用戶知道，該網站連接已加密且很安全。綠色地址欄表明擴展驗證SSL證書，我們將在下一章節裏進行介紹。有些網站還會顯示來自CA的安全封條(標識)。

常見SSL證書類型

在購買SSL時，企業有很多問題需要考慮。爲了選出最佳SSL，他們首先必須選擇可靠的證書提供商。國外一些商業供應商包括Comodo、賽門鐵克、Thawte、DigiCert、Entrust、GoDaddy、GlobalSign、Verizon、Trustwave以及GeoTrust，也有很多其他供應商。選擇可靠的CA可確保企業的公鑰和SSL證書會有效保護客戶端和服務器之間傳輸的數據，同時，當用戶訪問網站並看到已知實體的SSL封條時，可能會想到品牌聲譽和安全性。

三種常見證書類型是單名SSL證書、通配證書以及多域名證書。單名證書適用于單個域名或服務器，它很適合只需要保護一個域名或網站的企業;通配證書適用于域名及其一級子域;多域名證書讓企業可使用單個證書保護多個域名和網站。選擇正確證書類型完全取決于企業的網絡環境。

驗證又是另一回事。在驗證過程中，CA在發布SSL證書前會驗證申請人的信息。典型的驗證是域名驗證(DV)、機構驗證(OV)和擴展驗證(EV)。DV證書只會檢查域名注冊表，因此不能保證網站爲合法。出于這個原因，DV證書不適用于商業用途。OV證書可證明企業已被驗證且是合法的，而EV證書則提供最高水平的網站驗證和身份保證。對于EV SSL證書，CA會執行最徹底的信息檢查，包括法律和業務曆史、身份驗證、域名控制等。這種類型的SSL證書通常比DV和OV更昂貴，主要由領先的企業使用。

如何選購最佳SSL?

爲了選擇最佳SSL，應該選擇至少提供128位保護的供應商。現在，40位強度已被認爲很弱，而112位密碼(例如3DES)則會很慢，並已不再廣泛使用。理想情況下，最好使用256位保護，每增強一倍意味著可更好地抵禦大多數攻擊類型。

還應該考慮供應商的客戶支持及保證。與幾年前相比，現在部署SSL更容易，但它仍然必須安裝以及得到妥善管理才會有效。請確定你選擇的供應商是否提供全年無休的支持，以及優先升級，是否需要付費擴展支持等。此外，還應該確保當客戶因爲發行不當的SSL證書而遭遇欺詐活動時，供應商會進行相應的賠償。

總結

所有收集或傳輸敏感信息的網站都必須部署最佳SSL來提供保護，如果不這樣做，很可能會遭致法律訴訟以及懲罰。同樣地，聲譽受損也可能會影響到未來業務。