引入:
过年前同事和我讨论过一些关于SSL证书的知识,这里趁着过年做一个汇总,他当时问了我几个问题,所以我这里也以问题的形式分别讲述SSL证书在日常使用的一些小技巧,我们先讲解关于SSL证书的相关背景知识。
背景知识:
访问某些网站经常是以https开头的,这个叫交换敏感信息时候使用了SSL加密。
1.如何保证SSL加密的安全性:
它的安全性由CA(数字证书认证机构)来保证。网站向CA申请证书,CA通过某种机制(比如是否在数字证书颁发机构买了证书)来得知网站的真实性(而不是钓鱼网站),从而为该网站颁发证书,它就相当于提供了证明网站身份的“信用卡”。一旦有了SSL证书后,这个SSL加密才能被信任。
关于这点我要补充说明下:
a.对于注册公共域名的网站,如果要启用HTTPS,那么一般会向证书颁发机构购买证书文件,这样当客户访问这个网站时候,用户会先让网站证明其真实性,然后才会发送敏感数据到指定网站,网站则会向证书颁发机构提出证明其合法性的请求,这个是实时的,也就是说,如果目标网站无法连到因特网就不可以了。这个也可以杜绝钓鱼网站,因为钓鱼网站显然是不会由权威机构为其颁发证书的。
b.对使用自己签名证书的网站,那么这个证书显然不是通过权威的证书颁发机构给予的,所以他们是不负责校验证书的,所以你必须对网站的负责人有信任,所以一般这个用于局域网中,如果我认识某个人,我充分信任其人品,那么我就会愿意把自己私密数据发送到对方架设的服务器上,在这个过程中,就算目标网站无法连到因特网,我仍然可以访问,因为这个证书的有效性由彼此之间的协商来保证,而不是由权威机构认证。
2.SSL证书的目的:
所以用我自己的话来概括,其实SSL证书有两个目的:1.确保网站宣称的身份是真实可靠的 2.确保网站和用户之间的数据是加密并且可靠的。所以证书其实是给网站用的,它目的是让用户在发送敏感信息之前,有个手段去探测目标网站的真实可靠性,如果用户觉得这个网站没有受信任的SSL证书(比如那个地址栏的“锁”不是绿色的,那么用户完全可以取消发送数据到这个网站),这比非SSL的网站直接点击某个按钮就把私密数据发送过去来的安全可靠的多。
