关于SSL需要了解的5件事
网络内人的上升和对政府监督的更大意识促使呼吁在互联网上进行更紧密的安全性,并且它的大部分是加密流向和来自网站的流量。谷歌,Facebook和Microsoft是一家推动更广泛使用SSL / TLS(安全套接字层/传输层安全)加密的公司之一,但实现它可能是棘手和昂贵的。以下是您需要知道的基础知识。
什么是ssl / tls?
它是一个最初由Netscape在20世纪90年代开发的协议,以确保网站的真实性并允许使用最终用户安全地交换数据。它使用公钥加密创建加密连接,通常由“https”指示,以及在浏览器的URL窗口中出现的挂锁。
它为什么如此重要?
只使用基本HTTP://设置交换的数据可以由黑客拦截。可以收集或篡改数据,为用户创建隐私和安全风险。几乎所有信誉良好的银行和电子商务网站都在这些天使用SSL / TLS,但许多较小的网站仍然没有。
很难成立吗?
已知SSL / TLS是Finicky和难以实现的,特别是对于非常大的网站。称为认证机构(CAS)的组织销售用于验证网站的不同类型的数字证书。根据证书类型,CAS将验证请求一个人合法的实体,以防止欺诈性网站。但证书可能是昂贵的,批评者说成本和复杂性是脱击。证书也会到期,它的重要事项必须何时更新。
有没有缺点?
简而言之,很多。网络安全专家在损害了SSL / TLS连接的几年内已经设计了许多攻击。此外,已在OpenSSL中找到了Quallbled等软件漏洞,这是一个广泛使用的SSL应用程序。CAS偶尔被攻击,攻击者为用于网络钓鱼的网站创建证书。在2011年,密码师Moxie Marlinspike概述了CA系统中的许多弱点以及找到替代品的复杂性。“只要它与来自同一复古的许多其他协议相比,SSL已经持续了”它“是惊人的,”马林匹克斯普沃克写道。超过600个CAS问题或出售SSL / TLS证书;一些较大的玩家包括VeriSign和Comodo。
做了什么问题?
一个名为让我们去年推出的Per加密的项目是免费的域验证的数字证书,作为刺激Web上加密的运动的一部分。在发现新攻击时,SSL / TLS中的错误会被修补,但在此时,对整个系统来说并不是真正的可行替代品。改变它需要来自整个行业的协议,并且很快就不太可能。目前,保护私有SSL / TLS键可能是最重要的任务,市场上的各种硬件安全模块可以安全地管理这些数字键。