对于任何新的 Web 开发人员或网站所有者来说,了解 SSL 和 TLS 的作用是重要的早期课程。为什么这有关系?无论您的网站的目的是什么,您都将从安全投资中受益。从保护客户数据安全到提高您在搜索引擎中的排名,了解 SSL 和 TLS 是成功的关键一步。在本文中,我们将讨论 SSL 和 TLS 之间的区别,以帮助您浏览网站和服务器管理的这一重要领域。
加密连接概述
当您的浏览器连接到网站时,您可能会将支付详情等敏感信息传输到托管您所连接网站的服务器。如果没有加密技术来混淆数据,这些信息可能会在传输到服务器的过程中被截获,并像明信片一样被读取。加密是将有用数据加扰成无用数据的过程。
此数据使用算法加密。如果您知道所使用的算法,并且您可以访问加密数据,则可以解密数据并显示内容。SSL 和 TLS 都是用于此过程的加密协议。
加密的工作原理
为了促进客户端和服务器之间的这种加密过程,使用了一种称为“SSL 证书”的产品。此过程涉及网站所有者从 Comodo 或 DigiCert 等证书颁发机构订购证书。
首先,网站所有者将生成一个私钥,该私钥将存储在服务器上。基于私钥,网站所有者将生成证书签名请求并将其发送给证书颁发机构。证书颁发机构将根据本文末尾讨论的验证方法验证订单,并颁发 SSL 证书。最后,网站所有者将在其服务器上安装 SSL 证书。SSL 和 TLS 是促进此过程的加密协议。
什么是 SSL?
SSL 代表安全套接字层。自 1995 年由 Netscape 推出以来,SSL 已成为网站安全的基本组成部分之一。由于安全漏洞,SSL 协议在很大程度上已被 TLS 取代。
什么是 TLS?
SSL 是 TLS(传输层安全)的前身。TLS 于 1999 年基于 SSL 3.0 协议引入,并开发用于解决 SSL 协议的安全问题。自引入 TLS 以来,已发现 SSL 2.0 和 SSL 3.0 的更多漏洞,不应再使用这些协议。如果网站仍在使用这些协议来加密连接,浏览器将显示连接不安全的警告。
在技术层面上,SSL 和 TLS 是完全不同的。但是,无论使用哪种协议,在客户端和服务器之间建立安全连接所涉及的步骤都是相同的。“握手”是当计算机连接到具有相同 SSL 证书的网站时发生的过程,无论该网站使用 SSL 还是 TLS。
为什么我们仍然称它们为 SSL 证书?
您可能想知道,当 SSL 协议已在很大程度上被 TLS 取代时,为什么提供商继续将这些安全证书称为 SSL 证书。直到 2014 年发现 POODLE 漏洞后,SSL 协议的弃用才得到广泛认可。因此,“SSL 证书”这个词已经使用了很多年,并且很可能会出于习惯而继续使用。虽然更合适的术语是“TLS 证书”或“安全证书”,但我们将看看这是否会流行起来。
为什么它很重要
您的计算机需要 SSL 证书才能打开与 Web 服务器的安全连接。SSL 证书让您的浏览器知道它可以信任包含您敏感数据的网站。可以使用 https:// 而不是 http:// 访问具有 SSL 证书的网站。添加的“s”表示安全层。如果您无法访问此页面,则该网站使用了未加密的连接。当您使用安全连接时,在大多数 Web 浏览器中,您会在 URL 旁边看到一个挂锁图标。
然而,SSL 证书不仅仅适用于电子商务商店。尽早为您的网站投资 SSL 证书的原因有很多。一方面,谷歌喜欢他们。随着时间的推移,谷歌的算法对网站排名的方式变得更加智能。拥有 SSL 证书是提升一般 SEO 的一种简单方法。Google 的 Chrome 浏览器从 62 版开始,会将任何包含文本字段但没有 SSL 证书的网站标记为不安全。一些浏览器允许用户将它们设置为仅连接到支持安全连接的网站。
SSL 死了吗?
简而言之 - 不。最新版本的 TLS 比 SSL 安全得多。今天的大多数设备都支持 TLS,但仍有例外。恶意行为者也有可能在他们的计算机和服务器之间强制建立 SSL 连接。这被称为“降级攻击”,会严重破坏连接的安全性。但是需要注意的是,从 TLS 1.3 版本开始,这些降级攻击在理论上已经过时了。SSL 开始赶上现代互联网的格局,但如今 TLS 始终是首选。
使用 TLS
为了在您的网站上使用 TLS,您需要在支持 TLS 的服务器上保护托管。如今,绝大多数网络托管服务提供商默认提供 TLS。您应该以使用最新版本的 TLS 为目标,并且永远不要使用 TLS 1.1 之前的任何版本。
有不同类型的 SSL 证书可用,我们将在下面介绍,但它们的功能都相同。这些不同的证书类型代表了不同的信任级别,您需要信任您购买的电子商务网站,而不是信任您阅读的博客。无论您使用免费 SSL 证书还是付费证书,您的网站都将使用加密连接。
证书类型
所有 SSL 和 TLS 证书都称为 SSL 证书。除非提到特定版本的 SSL 或 TLS,否则它们通常是可以互换的。
域验证证书
这些是可用的最基本的 SSL 证书类型。通过联系基于域名的电子邮件地址或公共 whois 目录中列出的电子邮件来验证域验证证书。这种类型的证书是最便宜的,占大多数免费 SSL 证书。由于这些证书没有经过手动验证,它们不会触发绿条或锁定显示在浏览器中,这表明网站的“信任”级别更高。
组织验证的证书
组织验证的证书供在线运营的商业企业使用。当您注册 OV 证书时,证书颁发机构将检查政府注册数据库以确保该站点是真实的。完成此操作后,浏览器将在网站 URL 旁边显示一个绿色条或组织名称。
扩展验证证书
EV 证书与 OV 证书一样经过审查,尽管要严格得多。在审核 OV 的同时,持续监控 EV 以确保证书保持有效并验证其中的信息。这种严格的验证过程和监控并不便宜,这反映在您将付出的代价上。
网络安全是新网站所有者必须熟悉的最复杂的主题之一。围绕 TLS 和 SSL 的混淆只会让这变得更加困难。好消息是,只要您使用信誉良好的网络托管服务提供商,使用 SSL 证书保护您的网站就像选中一个框一样简单。无论您的网站类型或大小如何,您都应该始终拥有 SSL 证书。