阅读时间: 3 分钟
安全套接字层 Netscape于1994年采用(SSL)协议,以回应对Internet安全性日益增长的关注。 Netscape的目标是在客户端和与平台或操作系统无关的服务器之间创建加密的数据路径。 Netscape还拥抱SSL以利用新的加密方案,例如最近采用的高级加密标准(AES),这种方法被认为比数据加密标准(DES)更安全。 实际上,到2003年XNUMX月,美国政府认为AES的安全性足以用于分类信息:
“ AES算法所有密钥长度(即128、192和256)的设计和强度足以保护保密信息,直至SECRET级别。 国家安全局(NSA)认证了旨在保护国家安全系统的产品中的AES实施。 (来源:维基百科,定义AES)
已发布更新,因此今天版本3.0变得越来越流行并成为标准。 此外,SSL 3.0是当今大多数Web服务器支持的版本。
SSL证书提供什么样的信任?
自成立以来,SSL的主要作用是为Web流量提供安全性,包括机密性,消息完整性,不可否认性和身份验证。 SSL通过使用加密和正确认证的数字证书来实现这些安全性要素。
因此,SSL证书对于用户在将私人信息发送到服务器之前信任从服务器运行的网站至关重要。 但是加密只是SSL提供的“信任方程式”的一部分。 根据X.509标准发行的SSL证书应该传递有关实体身份的信息,因为证书充当“数字文档”,用于验证特定的公钥实际上确实属于指定的实体。 此身份验证可帮助用户区分经过身份验证的网站和欺诈性网站。
低保证SSL证书在在线信任中造成差距
证书颁发机构在建立对在线身份的信任方面起着关键作用。 由于数字证书是希望认证的实体或个人身份的声明,因此需要可信的第三方来验证附加到证书的身份。 该第三方是证书颁发机构,其职责是为在线实体提供经过身份验证的身份信任保证。
不幸的是,并不是所有的认证机构在身份保证方面都遵循类似的标准。 实际上,某些证书颁发机构在没有任何过程的情况下颁发证书来认证和验证请求证书的企业的身份。 更糟糕的是,这些未经审查的证书显示与身份保证的SSL证书相同的黄色挂锁。 这些“弱”验证证书仅依赖于域名注册商的详细信息来验证所有权,这实际上不提供任何身份保证。
让我们看下面的例子。 www.ABCompany.com或www.ABC-company.com是ABC Company的真实网页,还是其中一个URL属于欺诈者或冒名顶替者? 要确定您是否在合法站点上,将需要进一步验证。 如果网站没有身份验证,则任何欺诈者都可以从受欺诈的网站上获取受信任的黄色图标,以发起网络钓鱼或欺骗攻击,因为用户无法轻松地区分低保证证书和验证身份的高保证证书。
结论
这就是为什么 EV SSL证书 被引入以弥合这种信任差距。
当EV证书保护网站安全时,Microsoft Internet Explorer,Opera或Mozilla Firefox用户在访问该网站时将立即看到地址栏变为绿色。 URL旁边的显示将在组织名称和证书以及颁发证书的证书颁发机构之间切换 SSL证书。 绿色条表示第三方已验证企业的身份。 其他浏览器供应商也将提供类似的显示
SSL对于 网络安全。 它为用户提供了强烈的机密性,消息完整性和身份认证。 电子商务业务与消费者对整个网络SSL证书的身份保证方面的信心紧密相关。
结果,将来SSL证书将发展为提供更多的安全性和身份保证。 密钥长度,密码套件和SSL证书的新准则的加密也将不断发展,以确保在线交易期间身份验证的一致性。 这样,随着用户对在线购物和银行业务更加自信,电子商务将能够继续发展。