安全套接字层 (SSL) 及其继承者传输层安全性 (TLS) 是提供跨网络私有加密通信的协议。
SSL/TLS 连接的好处包括:
隐私 – 两个连接网络之间的通信由第三方无法获得的唯一密钥保护。
身份验证 – 使用公钥密码验证通信方的身份。
完整性 – 身份验证算法确定消息是否已被更改。推荐阅读:《如何给WordPress站点安装并启用SSL证书》
传输层安全作为 SSL 的更新版本于 1999 年发布。该协议已被证明可以插入SSL 3.0 中的某些漏洞,包括在2014 年 POODLE 攻击 中利用的漏洞 ,攻击者在该攻击中从加密交易内部解密和提取信息。
SSL/TLS 证书
SSL/TLS 证书是一种数据文件,用于加密发送到服务器的信息并验证网站的身份。应用程序、浏览器和操作系统维护由受信任的证书颁发机构 (CA) 提供的根证书列表。
SSL/TLS 证书有多种类型,包括保护一个子域的单名称证书、保护无限子域的通配符证书和多域证书。多域证书有两种形式:
主题备用名称 (SAN) – SAN 允许将电子邮件地址、DNS 名称、IP 或 URL 等身份绑定到证书主题。这提供了使用单个证书保护多个域的能力。推荐阅读:《SSL和TLS是什么,服务器中它们为什么那么重要》
统一通信证书 (UCC) – UCC 保护 Microsoft Exchange Server 和 Office Communications Server,使它们能够安全地连接多个 Web 服务。
另一种类型的 SSL 证书是扩展验证 (EV)。EV 证书让用户放心,他们正在查看由购买 SSL 证书的法人实体所有的网站,而不是冒名顶替的网站。用户的浏览器会显示一个包含法人名称的绿色地址栏,以确认站点的有效性。
EV 证书示例
每个 SSL/TLS 证书都必须托管在唯一的 IP 地址上。由于 CDN 无法为使用其服务的每个网站分配独立 IP,因此通常使用多域证书。
但是,许多 CDN 提供高级功能,使客户能够租用个人 IP 地址,这对于想要使用自己的自定义/EV 证书的组织尤其有用。推荐相关阅读:《SSL与TLS,及其在互联网安全中的作用》