24小時在綫聯繫:
服務郵箱 [email protected]
BigDDos网络防御
  • 首页
  • Web安全
  • DDos防禦
  • 業界新聞
  • 关于我们

企業如何選擇最佳的SSL

BigDDos网络防御 > 業界新聞 > 企業如何選擇最佳的SSL

企業如何選擇最佳的SSL

8月 17, 2016BigDDos業界新聞0 Comment

如果你的企業有意采購SSL,那麽本文可以給一個很好的方向。在本文中,我們將先簡要介紹SSL定義及其工作原理,並探討目前各種可用的SSL證書類型以及企業如何選擇最佳的SSL。

1471444797-8648-k276.jpg-wh-651x-s-681699725

SSL定義

SSL及傳輸層安全協議(TLS)是在服務器和互聯網客戶端之間創建加密鏈接的安全協議,通常是在Web服務器和Web浏覽器之間。它們還用在電子郵件服務器及其客戶端之間。加密鏈接可保護服務器和客戶端之間傳輸的數據(例如登錄憑證和信用卡號碼),防止竊聽、中間人攻擊以及類似威脅。

雖然創建加密鏈接的工具仍然被稱爲SSL加密工具,但由于漏洞問題,SSL及早期版本的TLS已不再被認爲是安全的協議。現在最佳SSL做法會采用TLS 1.2(或更高版本),這是目前用于創建安全加密鏈接的標准技術。

SSL工作原理

爲了創建安全連接,服務器和浏覽器需要證書頒發機構(CA)向企業頒發SSL證書。CA是可信的第三方,其證書會驗證企業的身份是否已經認證。(盡管任何人都可以創建證書,但Web浏覽器面對證書時會檢查其受信任的CA列表;爲避免安全相關的錯誤消息,證書必須來自受信任的CA。)SSL證書包含企業機構的名稱、域名、物理地址以及證書的過期日期,還有有關CA本身的信息。

爲了開啓這一過程,管理員必須激活Web服務器的SSL/TLS,創建一個證書簽名請求(CSR)文件,並填寫該證書所需要的企業信息。這個時候,服務器會創建兩個加密密鑰:私鑰和公鑰。公鑰包含在CSR文件中,其中會將企業的信息關聯到該密鑰,然後管理員會發送完整文件給CA,CA驗證文件中的信息並發布SSL證書。接著,接收Web服務器會將證書與私鑰進行比較。(CA沒有對私鑰的訪問權限;只有請求SSL證書的企業持有私鑰。)

請注意,爲了獲得最高水平的安全性,企業應該至少使用2048位私鑰:小位數的密鑰已經被破解。現在很多企業都選擇4096位密鑰,但需要注意的是,現在有些智能卡和讀卡器還不支持超過2048位的密鑰。

使用SSL證書可在服務器和浏覽器之間建立信任關系,而建立信任的過程涉及交換身份信息、SSL證書和密鑰,這被稱爲SSL握手。當Web浏覽器請求連接到Web服務器上的安全網頁時(通過在浏覽器的地址欄輸入地址),服務器會發送SSL證書的副本和公鑰到浏覽器。然後,浏覽器會針對其信任CA列表來檢查該證書,以驗證該證書是來自可信方,驗證證書的有效性(有沒有過期)以及證書正在被對應的網站在使用。如果浏覽器信任證書,它會發送消息回Web服務器,服務器會返回確認來啓動SSL加密會話,這意味著用戶可通過這個連接安全地發送機密信息。

Web浏覽器會在浏覽器中顯示挂鎖服務,並在地址欄使用https,讓用戶知道,該網站連接已加密且很安全。綠色地址欄表明擴展驗證SSL證書,我們將在下一章節裏進行介紹。有些網站還會顯示來自CA的安全封條(標識)。

常見SSL證書類型

在購買SSL時,企業有很多問題需要考慮。爲了選出最佳SSL,他們首先必須選擇可靠的證書提供商。國外一些商業供應商包括Comodo、賽門鐵克、Thawte、DigiCert、Entrust、GoDaddy、GlobalSign、Verizon、Trustwave以及GeoTrust,也有很多其他供應商。選擇可靠的CA可確保企業的公鑰和SSL證書會有效保護客戶端和服務器之間傳輸的數據,同時,當用戶訪問網站並看到已知實體的SSL封條時,可能會想到品牌聲譽和安全性。

三種常見證書類型是單名SSL證書、通配證書以及多域名證書。單名證書適用于單個域名或服務器,它很適合只需要保護一個域名或網站的企業;通配證書適用于域名及其一級子域;多域名證書讓企業可使用單個證書保護多個域名和網站。選擇正確證書類型完全取決于企業的網絡環境。

驗證又是另一回事。在驗證過程中,CA在發布SSL證書前會驗證申請人的信息。典型的驗證是域名驗證(DV)、機構驗證(OV)和擴展驗證(EV)。DV證書只會檢查域名注冊表,因此不能保證網站爲合法。出于這個原因,DV證書不適用于商業用途。OV證書可證明企業已被驗證且是合法的,而EV證書則提供最高水平的網站驗證和身份保證。對于EV SSL證書,CA會執行最徹底的信息檢查,包括法律和業務曆史、身份驗證、域名控制等。這種類型的SSL證書通常比DV和OV更昂貴,主要由領先的企業使用。

如何選購最佳SSL?

爲了選擇最佳SSL,應該選擇至少提供128位保護的供應商。現在,40位強度已被認爲很弱,而112位密碼(例如3DES)則會很慢,並已不再廣泛使用。理想情況下,最好使用256位保護,每增強一倍意味著可更好地抵禦大多數攻擊類型。

還應該考慮供應商的客戶支持及保證。與幾年前相比,現在部署SSL更容易,但它仍然必須安裝以及得到妥善管理才會有效。請確定你選擇的供應商是否提供全年無休的支持,以及優先升級,是否需要付費擴展支持等。此外,還應該確保當客戶因爲發行不當的SSL證書而遭遇欺詐活動時,供應商會進行相應的賠償。

總結

所有收集或傳輸敏感信息的網站都必須部署最佳SSL來提供保護,如果不這樣做,很可能會遭致法律訴訟以及懲罰。同樣地,聲譽受損也可能會影響到未來業務。

Tags: SSL

Written by BigDDos

头像

← 互聯網黑市分析:DDoS 啓示錄
最強DDOS攻擊達3.7萬GPS,目標轉向應用層? →
  • 20150417142027590.jpg

留言

8KIY5T

最新文章

  • 業界文章停更說明
    2019年12月31日
  • 最強DDOS攻擊達3.7萬GPS,目標轉向應用層?
    2017年4月2日
  • 企業如何選擇最佳的SSL
    2016年8月17日

服務

  • 99.9% 正常運行時間保證
  • 300+ Gbps DDoS 保護
  • 多種DDoS緩解措施
  • 多種防禦 DDoS 方案
  • 24/7/365 技術支持
  • Geo DNS
  • 3分鍾內即時響應

緩解中心

  • 華盛頓
  • 蒙特利爾
  • 洛杉矶
  • 倫敦
  • 芝加哥
  • 多倫多
  • 達拉斯
  • 東京
  • 俄羅斯
  • 西雅圖
  • 烏克蘭
  • 荷蘭
  • 瑞典
  • 溫哥華
  • 馬來西亞
  • 香港
本站所有文章除特别声明外,皆转自互联网。如有侵权请联系 BigDDos 删除。
Powered by BigDDos.com | Copyright © 2004 - 2019 BigDDos.com All Rights Reserved