SSL数字证书及其后继协议TLS(传输层安全性)是用于在联网计算机之间建立经过身份验证和加密的链接的协议。尽管1999年TLS 1.0发行版不推荐使用SSL协议,但将这些相关技术称为“ SSL”或“ SSL / TLS”仍然很普遍。最新版本是TLS 1.3,在RFC 8446(2018年8月)中定义。
钥匙、证书和握手
SSL / TLS通过将称为X.509证书或SSL证书的数字文档将网站和公司等实体的身份绑定到加密密钥对来工作。每个密钥对包括一个私钥和一个公钥。私钥保持安全,公钥可以通过证书广泛分发。推荐阅读: 免费SSL证书和付费SSL证书的区别
一对私钥和公钥之间的特殊数学关系意味着可以使用公钥来加密只能用私钥解密的消息。此外,私钥的持有人可以使用它来签署其他数字文档(例如网页),并且拥有公钥的任何人都可以验证该签名。
如果SSL /
TLS证书本身由公共信任的证书颁发机构(CA)(例如SSL.com)签名,则证书将被客户端软件(例如Web浏览器和操作系统)隐式信任。主要软件供应商已经批准了公共信任的CA,以验证将在其平台上信任的身份。公开CA的验证和证书颁发程序将接受定期,严格的审核,以保持此受信任的状态。
通过SSL /
TLS握手,可以将私钥和公钥与公共信任的证书一起使用,以协商Internet上经过加密和认证的通信会话,即使是从未遇到过的两方之间。这个简单的事实是当今众所周知的安全Web浏览和电子商务的基础。
并非所有的SSL / TLS应用程序都需要公众信任。例如,公司可以颁发自己的私人信任证书供内部使用。
SSL / TLS和安全的Web浏览
SSL / TLS的最常见和众所周知的用法是通过HTTPS协议进行安全的Web浏览。正确配置的公共HTTPS网站包括由公共信任的CA签名的SSL /
TLS证书。访问HTTPS网站的用户可以放心:
由于具有这些属性,SSL /
TLS和HTTPS允许用户通过Internet安全地传输机密信息,例如信用卡号,社会保险号和登录凭据,并确保将其发送到的网站是真实的。在不安全的HTTP网站上,这些数据将以纯文本格式发送,任何访问数据流的窃听者都可以使用。此外,这些不受保护的网站的用户没有可信赖的第三方保证,即他们正在访问的网站就是所声称的网站。
在浏览器的地址栏中查找以下指示器,以确保所访问的网站受到受信任的SSL / TLS证书的保护。更多内容请阅读: TXT记录与SSL证书的关系
