SSL: 安全套接字層(Secure Sockets Layer)
SSL是一種保障網際網路連線安全的標準技術,方法是為網站和瀏覽器之間(或兩個伺服器之間)發送的數據進行加密。 它防止駭客查看或竊取所傳輸的資訊,包括個人數據或財務數據。
相關術語
TLS:傳輸層安全協議( Transport Layer Security)
TLS是更新、更安全的SSL版本。 我們仍然將安全憑證稱為SSL憑證,因為這是一個更常見的詞彙,不過當您透過DigiCert購買SSL憑證時,您將獲得最受信任、最新的TLS憑證。
HTTPS: 超級文字傳輸協議(Hyper Text Protocol Secure)
當網站受SSL/TLS憑證保護時,HTTPS會在URL中出現。使用者可以透過點擊瀏覽器地址欄中的掛鎖標記來查看憑證的詳細資料,包括頒發機構和網站擁有人的企業名稱。
為什麼您需要SSL憑證?
SSL憑證不僅適用於電子商務。 它能夠保護從您的網站傳入與傳出的所有類型的資訊。
如果客戶知曉您的結賬區(以及他們分享的信用卡資訊)是安全的,那麼他們就更有可能完成購買。
SSL加密並保護用戶名和密碼,以及用於提交個人資訊、文檔或圖片的表單。
即使是不收集付款或敏感資訊的部落格和網站也需要HTTPS來保護使用者活動的隱私性。
SSL能夠提升SEO
2014年,Google倡導實現HTTPS的全覆蓋以提高整個網路的安全性——並且對由SSL所保護的網站給予提升排名的獎勵。 2018年, Google還採取了搜索排名之外的措施, 通過在Chrome瀏覽器中將沒有使用SSL憑證的網站標記為「不安全」的方式對其進行懲罰。
SSL如何提升信任度?
並非所有SSL憑證都生而相同。 除了使用SSL加密數據之外,DigiCert還會對網站擁有者的身份進行驗證,以增加更多一重的安全性。 我們提供三種驗證級別的憑證:
1. 網域驗證SSL憑證
2. 組織驗證SSL憑證
3.延伸驗證SSL憑證
SSL憑證是如何運作的?
SSL憑證在網站/伺服器和瀏覽器之間建立加密的連接,稱為「SSL握手」。對於您網站的訪客而言,該過程是不可見的——並且是即時的。
身份驗證
當使用者在您的網站上開始每一次新的會話時,伺服器以SSL憑證的形式提供身份,之後使用者的web伺服器對其有效性進行檢查。
加密
您的伺服器將自己的公鑰與瀏覽器進行共享,然後瀏覽器使用該公鑰來創建並加密預備主密鑰(pre-master key)。 這被稱為密鑰交換。
解密
伺服器使用私鑰解密預主密鑰,為會話期間創建安全、加密的連接。
SSL是否可以在所有裝置和系統上運行?
簡而言之,可以。具體來說,所有較新的電腦、平板電腦和行動電話的主流操作系統都能支援SSL/TLS協議。如果您對舊型裝置的兼容性有疑問,請聯絡我們的支援團隊。
瀏覽器
正如網站的設計獨立於設備和瀏覽器一樣,所有主流的web瀏覽器都能支援SSL/TLS。
伺服器
任何伺服器都可以支援SSL憑證。在握手流程中由瀏覽器決定伺服器的安全性。
電子郵件
大多數基於雲端的電子郵件提供商使用SSL進行加密。 組織可以安裝SSL憑證以保護私密的電子郵件伺服器。
SSL辭彙表
256位元加密(256-bit encryption ) 使用密鑰長度為256位元的算法來加密電子文檔程序。密鑰愈長,保護性愈高。
A
非對稱密碼(Asymmetric cryptography) 在加密和解密過程中所使用的一對由2個密鑰組成的密碼。 在SSL和TLS領域,我們稱之為公鑰和私鑰。
C
憑證簽章要求(Certificate signing request,CSR) 組成DigiCert憑證應用程式的機器可讀形式。 一個CSR通常包含請求者的公鑰和可識別名稱。
憑證授權機構(Certificate authority,CA) 根據憑證操作規則(CPA)授權頒發、暫停、續訂或吊銷憑證的實體。透過CA頒發的所有憑證和CRL上的專有名稱對CA的身份進行識別。CA必須公佈其公鑰,如果CA從屬於主要憑證頒發機構,那麼該CA必須提供來自更高級別的CA的憑證,以證明其公鑰的有效性。DigiCert是一家主要憑證頒發機構(PCA)。
密碼套件(Cipher suite) 一組密鑰交換協議,包括SSL協議中使用的身份驗證,加密和訊息身份驗證算法。
通用名稱(Common name,CN) 憑證專有名稱中的屬性值。 對於SSL憑證,通用名稱是要保護的站點的DNS主機名。對於軟體發行商憑證,通用名稱是組織名稱。
連接錯誤 (Connection error) 當使用者嘗試訪問站點時阻止安全會話的安全問題會被標記。
D
網域驗證SSL憑證 (Domain Validation (DV) SSL Certificates) SSL憑證最基本的等級。 在頒發憑證之前僅驗證網域所有權。
E
橢圓曲線加密(Elliptic Curve Cryptography,ECC) 使用曲線上的各點為公/私鑰對創建加密密鑰。 駭客經常使用的暴力方法極難攻破該加密方法,相比純RSA鏈加密,該加密方法提供更快的解決方案,而且需要的計算能力更少。
加密 (Encryption) 將可讀(明文)數據轉換為難以理解的形式(密文)的過程,使得原始數據不能被恢復(單向加密)或者在不使用反向解密過程(雙向加密)的情況下不能被恢復。
延伸驗證SSL憑證 (Extended Validation (EV) SSL Certificates) 最全面的安全憑證形式。 對網域進行驗證,並且公司或組織也需要經過嚴格的身份驗證過程。
K
密鑰交換 (Key exchange) 使用者與伺服器安全地為會話建立預備主密碼的方式。
M
Master secret 用於生成加密密鑰、MAC secret和初始化向量的密鑰材料。
訊息驗證碼 (Message Authentication Code,MAC) 訊息和secret上排列的單向散列函數。
O
組織驗證SSL憑證 (Organization Validation (OV) SSL Certificates) 用於驗證網域所有權以及網域背後組織存在性的一種SSL憑證。
P
預備主密碼 (Pre-master secret) 用於導出主密碼的密鑰材料
公鑰基礎設施(Public key infrastructure,PKI) 共同支援基於憑證的公鑰加密系統的執行和運作的架構、組織、技術、實行和程序。 PKI由各種系統組成,這些系統協作提供和實施公鑰加密系統,也可能有其他相關服務。
S
安全伺服器 (Secure server) 透過SSL或TLS保護主機web頁面的伺服器。在使用安全伺服器時,伺服器將向使用者進行身份驗證。 使用者資訊先由web瀏覽器的SSL協議進行加密,之後再通過網路進行發送。資訊只能由請求資訊的主機站點解密。
主體別名(SAN)SSL憑證 (Subject Alternative Name,SAN) 允許使用一個SSL憑證來保護多個網域的憑證類型。
SSL 安全套接字層的縮寫。 Web瀏覽器和伺服器的協議,能夠透過網路發送的數據進行身份驗證,加密和解密。
SSL憑證 (SSL certificate) 支持伺服器向使用者進行身份驗證並對伺服器與使用者之間傳輸的數據進行加密的伺服器憑證。
SSL握手 (SSL Handshake) SSL中用於安全協商的協議。
對稱加密 (Symmetric encryption) 在加密和解密流程中使用同一密鑰的加密方法。
T
TCP 傳輸控制協議,是任何網路中皆為主要協議之一。
W
Wildcard SSL憑證 (Wildcard SSL certificates) 用於保護多個子網域的憑證類型。