安全套接字层(Secure Sockets Layer),也称为 SSL,是一种加密协议(encryption protocol),可在 Internet 上的设备之间创建身份验证的通道(authenticated channel),以便可以安全地共享信息。本质上,SSL 将“s”放在以“https://”开头的 URL 中,这意味着您与服务器之间的连接是安全的。
SSL 一直是网站的安全标准,直到 1999 年,更新的协议传输层安全 (TLS) 取代了它。尽管现代网站实际上使用了 TLS,但 SSL 仍然是一个广泛使用的术语,并且经常看到同时称为 SSL/TLS 的技术。
SSL/TLS 是您的数据在互联网上安全传输当中的一个关键部分。
SSL 如何工作?
SSL 提供了对通道和在线传输的数据进行加密所必需的元素。该协议通过称为“SSL Handshake”的过程在浏览器和 Web 服务器之间建立专用连接。
SSL 握手使用三个密钥(key)来建立私有连接(private connection):私有密钥(private key)、公共密钥(public key)和会话密钥(session key)。如果数据是用私钥加密的,那么只有公钥才能解密。另一方面,私钥是唯一可以解密用公钥加密的信息的东西。
在 SSL 握手期间使用私钥和公钥来创建将加密所有传输数据的安全会话密钥。有关分步细分,请查看以下过程。
SSL 握手的 6 个步骤:
- Web 浏览器(即客户端)连接到受 SSL 保护的网站(即 SSL 服务器)并请求该网站识别自己。这被称为“client hello”。
- 为了识别自己,网站会发送其 SSL 证书的副本和网站的公钥。此响应称为“server hello”。
- 然后,客户端根据证书颁发机构 (CA) 列表检查证书,并确保证书没有过期或被吊销。
- 如果证书是真实的,客户端将信任它并使用网站的公钥创建对称会话密钥(symmetric session key)。
- 然后,SSL 服务器使用私钥解密会话密钥并发送加密确认以启动会话。
- 网站和浏览器之间传输的所有数据都使用会话密钥加密。
尽管有各种不同的步骤,但 SSL 握手实际上是瞬间发生的,网站访问者不会注意到该过程。
SSL的重要性?
如果没有 SSL,如果您在线共享社会安全号码等机密信息,该信息将使用纯文本进行交换。由于纯文本(plain text)不安全,您的信息容易受到黑客和网络罪犯的攻击,他们可能会试图拦截和使用您的数据。
每当您进行在线支付或共享个人信息(如信用卡号)时,SSL 可确保您的数据保密。因此,它是在网站与其访问者之间建立信任的关键部分。
它还有助于网站遵守以下信息安全标准:
- 身份验证(Authentication):验证网站服务器是正确的服务器
- 加密(Encryption):保持数据传输的私密性和受保护
- 完整性(Integrity):确认请求或传输的数据已实际交付
什么是 SSL 证书?
与护照或身份证passport or ID card)类似,SSL/TLS 证书可验证网站或应用程序是否确实如他们所声称的那样,并且它们由网站的服务器存储。
此外,SSL 证书还包含在 SSL 握手期间用于创建安全连接的私钥和公钥。没有 SSL 证书,您的网站就无法启用 SSL 协议。
如何获取 SSL 证书
按照下面概述的步骤了解如何为您的网站获取 SSL/TLS 证书。
1. 创建密钥和证书签名请求 (CSR:Certificate Signing Reques)
获取 SSL/TLS 证书的第一步是在您的服务器上生成一对私钥和公钥。然后,您将在您网站的服务器上创建证书签名请求。
CSR 是一种编码数据文件,用作与证书颁发机构共享您的公钥和任何识别公司信息的标准化方法。
关于 CSR 的常见信息:
- 公司名称和通用名称
- 公司所在地
- 钥匙类型和尺寸
2. 将 CSR 数据文件发送到证书颁发机构 (CACertificate Authority)
获得 CSR 后,您需要将加密的数据文件提交给 CA 以获得证书。为此,您需要选择一个受到网络浏览器(如 DigiCert 或 SSL.com)公开信任的 CA。
此外,您还需要确定是否可以使用标准的免费证书,或者是否需要为自定义证书付费。保险或金融等受监管行业对可能需要定制的 SSL 证书有特定要求。
在确定受信任的 CA 和您需要的证书类型后,您可以发送 CSR 文件。然后 CA 将向您发送您的 SSL/TLS 证书。
3. 在您的服务器上安装 SSL 证书
现在您已经有了 SSL/TLS 证书,您需要将它安装在您的 Web 服务器上。您还需要安装一个中间证书,它通过将证书链接到 CA 的根证书来确认证书的真实性。
按照服务器的说明安装和测试您的证书。安装后,您的网站所连接的任何浏览器都会让用户知道您的网站是安全且值得信赖的。
如何判断网站是否使用 SSL 安全
有几种方法可以判断您使用的网站是否受 SSL 保护。您需要做的就是快速浏览 URL 栏以了解您需要了解的内容。下面我们详细介绍表明网站安全的两个标志。
URL 以“https://”而不是“http://”开头
“https://”中的“s”代表安全连接并确认该网站已通过 SSL 加密。
2. 安全网址旁边有一个挂锁图标
根据您的浏览器,挂锁图标将出现在您的 URL 的左侧或右侧。例如,如果您使用 Google Chrome,挂锁应该位于左侧。
3. Bonus:验证网站的 SSL 证书是否有效
SSL 证书已过期的网站实际上不会有安全连接,但它可能仍然有一个以“https://”开头的 URL,并且还可能显示一个挂锁。
单击 URL 栏中的挂锁以获取更多信息,检查证书是否仍然有效以及您的连接是否安全。如果一个网站没有将他们的身份放在他们的证书上,这是一个危险信号,你不应该与他们分享你的个人信息。
TLS 与 SSL:有什么区别?
作为 SSL 的后继者,TLS 是作为 SSL 技术的更新而创建的,并被赋予了不同的名称。它们本质上是相似的协议,都使用加密来保护用户在线数据的私密性。
话虽如此,与最新的 TLS 版本 (TLS 1.3) 相比,SSL 已经过时,并且被现代 Web 浏览器认为是不安全的。尽管 TLS 是当今用于保护网站的最新技术,但 SSL 一词仍然广为人知和使用。
SSL 与 TLS : 异同
| Secure Sockets Layer (SSL) | Transport Layer Security (TLS) | |
|---|---|---|
| Versions and dates released | - SSL 1.0 (never publicly released) - SSL 2.0 (1995) - SSL 3.0 (1996) | - TLS 1.0 (1999) - TLS 1.1 (2006) - TLS 1.2 (2008) - TLS 1.3 (2018) |
| Major cryptographic difference | Uses a port to make connections (i.e., an explicit connection) | Uses a protocol to make connections (i.e., an implicit connection) |
要点:虽然 TLS 取代了 SSL 技术,但这些术语通常可以互换使用。
SSL/TLS 是保护在线数据的重要防线。它在网站和服务器之间建立安全连接,并使所有传输的信息加密和保密。
SSL Keystore 和 Truststore
Mobile Security Access Server supports an SSL keystore and SSL truststore. The SSL keystore holds the identity key for the server and the SSL truststore serves as the repository for trusted certificates. The SSL truststore is used for trusting or authenticating client certificates (for two-way SSL).
移动安全访问服务器支持 SSL keystore 和 SSL truststore。 SSL keystore 保存服务器的身份密钥(identity key),SSL truststore 充当受信任证书的存储库。 SSL truststore用于信任或验证客户端证书(对于双向 SSL)。
you can import keys into the SSL keystore, or generate keys. You can also import certificates into the SSL truststore
您可以将密钥导入 SSL keystore,或生成密钥。您还可以将证书导入 SSL truststore
参考文献
Difference Between Java Keystore and Truststore | Baeldung
Configuring the SSL Keystore and Truststore
What Is SSL? How It Works and Why It's Important - Panda Security
https://docs.oracle.com/cd/E52734_01/omss/AMSAS/msas-config-ssl.htm#AMSAS11905
![[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞(CVE-2018-7602)](https://img-blog.csdnimg.cn/e21fd20e37f34232af9c6eab06579fdf.png)
