什么是 SSL? 了解 SSL 的历史及其工作原理

在深入了解 SSL 证书的诸多好处和用途之前,它可能有助于了解基础技术。 本文简要介绍了安全套接字层 (SSL) 如何演变为传输层安全性 (TLS),并简单解释了它们如何为公共 Internet 和企业 Intranet 连接提供安全性。

特别是,目的是让您全面了解安全套接字层 (SSL) 协议和证书,以帮助您做出有关企业证书管理的最佳决策。

什么是 SSL?

SSL 是用于验证和加密网络通信的加密协议的原始名称。 正式地,SSL 在前一段时间被称为 TLS 的更新协议所取代。

SSL 到 TLS 时间线

以下是 SSL 随时间变化的时间表:

  1. SSL 是 Netscape 在 90 年代开发的一种安全协议,用于加密和保护 Internet 上的通信。 由于安全问题,SSL v1.0 从未发布。
  2. 1995 年,Netscape 发布了 SSL v2.0,但它仍然存在很多缺陷。
  3. 1996 年发布的 SSL v3.0 解决了 SSL v2.0 的问题。 这个版本提供了令人难以置信的改进,并永远改变了互联网的工作方式。 但是,自 2015 年起,SSL 3.0 及之前的版本已被弃用。
  4. TLS 由互联网工程任务组 (IETF) 开发,作为对 SSL 的改进; TLS v1.0 于 1999 年发布,基于 SSL v3.0,具有微小的安全改进,但仍然足够重要,以至于 SSL v3.0 和 TLS v1.0 无法互操作。
  5. TLS v1.1 在七年后的 2006 年问世,并在不久之后的 2008 年被 TLS v1.2 取代。这损害了 TLS v1.1 的采用,因为许多网站从 TLS v1.0 直接升级到 TLS v1.2。 11 年后,我们现在使用 TLS v1.3。
  6. TLS v1.3 在经过近 30 次 IETF 草案后于 2018 年定稿。 TLS v1.3 对其前身进行了重大改进。 截至 2020 年 3 月,Microsoft、Apple、Google、Mozilla、Cloudflare 和 Cisco 都已弃用 TLS v1.0 和 TLS v1.1。TLS v1.2 和 TLS v1.3 现在是唯一仍然可用的 SSL 协议。

所以,实际上,TLS 只是 SSL 的更新版本。 但是,大多数人仍然说 SSL 而不是 TLS。 SSL 和 TLS 的目的相同,即在传输过程中保护敏感信息,但在本质上,从最初的 SSL 到最新的 TLS v1.3,密码学发生了很大变化。

数字证书是SSL协议的核心; 它们在服务器(例如网站、内联网或 VPN)和客户端(例如 Web 浏览器、应用程序或电子邮件客户端)之间启动安全连接。

SSL 证书提供足够的保护,防止网络钓鱼和窃听传输以及服务器的自动身份验证,例如网站域。 如果网站要求提供用户的敏感信息,则需要有 SSL 证书在传输过程中对其进行加密。 如果没有 SSL 证书,则不应使用任何私人信息信任该连接。

它是如何工作的?

SSL 的主要目的是在服务器和客户端这两个端点之间提供安全的传输层连接。 此连接通常在网站服务器和客户端浏览器之间,或邮件服务器和客户端电子邮件应用程序(如 Outlook)之间。

SSL 包含两个独立的协议:

  1. 握手协议对服务器(以及可选的客户端)进行身份验证,协商加密套件,并生成共享密钥。
  2. Record 协议隔离每个连接并使用共享密钥来保护会话剩余部分的通信。

握手协议

SSL 握手是一种非对称加密过程,用于为服务器和客户端建立安全通道进行通信——HTTPS 连接始终以 SSL 握手开始。

一次成功的握手会在客户端的浏览器或应用程序后立即自动发生——不会影响客户端的用户体验。 但是,握手失败会触发连接终止,通常会在客户端浏览器中显示一条警告消息。

如果 SSL 有效且正确,握手将提供以下安全优势:

  • 身份验证:只要连接有效,服务器就始终经过身份验证。
  • 保密性:通过 SSL 发送的数据是加密的,并且只对服务器和客户端可见。
  • 完整性:数字证书签名确保数据在传输过程中未被修改。

总之,SSL 证书从根本上使用非对称加密和对称加密的混合来通过 Internet 进行通信。 在企业中实现 SSL 通信还涉及其他基础设施,称为公钥基础设施。

SSL 证书如何工作?

当您收到 SSL 证书时,您将其安装在您的服务器上。 您可以安装一个中间证书,通过将它链接到 CA 的根证书来建立您的 SSL 证书的可信度。

根证书是自签名的,构成了基于 X.509 的公钥基础设施 (PKI) 的基础。 支持用于安全 Web 浏览和电子签名方案的 HTTPS 的 PKI 依赖于根证书。 在 X.509 证书的其他应用中,证书的层次结构证明证书的颁发有效性。 此层次结构称为证书“信任链”。

信任链

信任链是指您的 SSL 证书及其与受信任的证书颁发机构的链接。 对于受信任的 SSL 证书,它必须追溯到受信任的根 CA。 信任链确保所有相关方的隐私、信任和安全。

每个 PKI 的核心是根 CA; 它充当整个系统的可信完整性来源。 根证书颁发机构签署 SSL 证书,从而启动信任链。 如果根 CA 是公开信任的,那么链接到它的任何有效 CA 证书都会受到所有主要互联网浏览器和操作系统的信任。

信任链是如何验证的?

客户端或浏览器本身就知道少数受信任的 CA 的公钥,并使用这些密钥来验证服务器的 SSL 证书。 客户端对信任链中的每个证书递归地重复验证过程,直到追溯到开始,即根 CA。

SSL证书有什么作用?

在不安全的 HTTP 连接中,黑客可以轻松拦截客户端和服务器之间的消息,并以明文形式读取它们。 加密连接会扰乱通信,直到客户端可以使用其他会话密钥对其进行解密。

当安装在 Web 服务器上时,SSL 证书使用公钥/私钥对系统来启动 HTTPS 协议,并为用户和客户端启用安全连接。

对于 Internet:SSL 证书对网站有什么作用?

当签名的 SSL 证书保护网站时,它证明该组织已通过受信任的第三方验证和验证其身份; 由于浏览器信任 CA,因此浏览器现在也信任该组织的身份。

检查网站是否安装了 SSL 的最简单方法是查看您的浏览器; 查看网站 URL 是否以“HTTPS:”开头,因为这表明它是否在服务器上安装了 SSL 证书。 如果是这样,请单击地址栏中的挂锁图标以查看证书信息。

Web 浏览器使用超文本传输协议 (HTTP) 连接到默认侦听 TCP 端口 80 的 Web 服务器。 HTTP 是一种纯文本协议,这意味着黑客相对容易拦截和读取传输数据。 它不适用于任何需要保密的应用程序。

SSL 使用端口号 443,对浏览器和服务器之间交换的数据进行加密并对用户进行身份验证。 因此,当 Web 浏览器和服务器之间的通信需要安全时,浏览器会自动切换到 SSL——也就是说,只要服务器安装了 SSL 证书。

与具有受信任的 CA 签名的证书的服务器建立连接对用户来说没有额外的困难。 当互联网用户访问受 SSL 保护的网站时,他们更愿意提交联系信息或使用信用卡购物。 此外,在您的网站上拥有 SSL 证书会提高您的排名位置,使用户和客户更容易找到您的网站。

SSL证书证明了一个网站的可靠性,但是有了更高级的证书,整个公司都可以通过SSL认证。

对于 Intranet:SSL 证书对企业环境中的应用程序有何作用?

虽然 SSL 的最初目的是用于万维网,但企业使用 SSL 证书来保护各种内部和外部连接。 企业 SSL 证书最常见的用例包括:

  • 网络访问控制
  • 虚拟专用网络 (VPN)
  • 单点登录
  • 物联网(IoT)

如果配置得当,所有这些应用程序都运行在 SSL 协议之上。 我们将在下一节中仔细研究这些示例:

网络访问

将无线设备连接到公司网络的员工需要轻松访问,同时网络必须防止对公司资源的未授权访问。 员工可以使用 SSL 证书访问和加密来自其设备、公司服务器甚至云服务器的文件,以供获得批准的个人使用。

通过用数字身份替换密码,避免需要记住/重置每 90 天更改一次的长而难记的密码。 将数字身份放入 Windows 或 Mac 桌面、服务器或 WiFi 接入点,这样只有授权的设备才能连接到您的公司网络。

单点登录

今天的企业员工可以访问各种各样的身份服务或联合产品。 企业通常使用 Web 单点登录产品来访问其在企业门户或云服务中的所有资源。

物联网

可以在您的物联网设备和用户的设备或应用程序中安装数字身份,以确保只有受信任的物联网设备才能连接到您的网络。 物联网设备从授权应用程序获取指令或向授权应用程序发送数据,用户拥有数字身份。

SSL VPN

安全套接字层虚拟专用网络 (SSL VPN) 是使用安全套接字层 (SSL) 创建的虚拟专用网络 (VPN),IT 部门可以扩展解决方案及其所需的基础设施服务。 SSL VPN 支持精细控制托管应用程序对企业 Web 应用程序的访问。 也许 SSL VPN 最显着的好处来自于通过允许远程访问所有数字证书来释放 IT 资源所获得的效率和生产力。

代码、文档和电子邮件签名

许多人没有意识到代码、文档和电子邮件签名证书不是 SSL 证书。 尽管它们都由 PKI x.509 证书提供便利,但密钥使用功能使一切变得不同。 阅读“代码签名和 SSL 证书之间的区别”或“数字证书和数字签名之间的区别”以了解有关该主题的更多信息。

 

posted @ 2022-12-22 16:12  沃通WoTrus  阅读(872)  评论(0编辑  收藏  举报