SSL证书
2015-07-15 by dongnan
SSL功能
实现加密传输
用户通过http协议访问网站时,浏览器和服务器之间是明文传输,
这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,被黑客加以利用。
安装SSL证书后,使用https加密协议访问网站,可激活客户端浏览器到网站服务器之间的SSL加密通道,
实现高强度双向加密传输,防止传输数据被泄露或篡改。
认证服务器身份
钓鱼欺诈网站泛滥,用户如何识别网站是钓鱼网站还是安全网站?
网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
SSL分类
域名类型
- 单域名证书,签发一张证书将包含1个完整主域名或1个完整子域名的网站安全。
- 通配型证书,通配型证书适合于同一域名下的多个子域(如二级子域名)。
- 多域型证书,支持多个域名,与通配型证书只支持子域不同的是,多域型
SSL证书支持任何域名而不仅仅限于子域。
证书类型
EVSSL: 扩展验证型SSL(Extended Validation SSL)。OVSSL: 机构验证型SSL(Organization Validation SSL)。DVSSL: 域名验证型SSL(Domain Validation SSL)。
加密强度
分为 40位、56位、128位、256位等,目前常用浏览器(如:IE6、IE7、IE8、火狐3等等)都支持128位加密,
只有0.2%用户仍然在使用不支持128位加密的不安全的低版本浏览器。
身份验证级别
- Class 1 (一级,只验证Email)
- Class 2(二级,验证Email和验证个人身份证明文件)
- Class 3(三级,验证Email、验证单位身份验证文件、第三方数据库核实)
- Class 4(四级,全球统一标准的扩展验证标准,验证Email、验证单位身份证明文件、验证申请人身份证明文件、第三方数据库核实)。
签名算法
SHA1: SHA1算法是目前使用最广泛的签名算法,但SHA1算法已经存在被破解的可能性。SHA2:更安全但不支持Windows XP。SHA2签名算法比SHA1更安全,将逐步替代SHA1成为主流签名算法。。
2016年1月1日前,用户可在购买过程中根据自己的实际应用需求自主选择签发SHA1证书或SHA2证书;2016年1月1日后,仅支持签发SHA2证书。