大家是如何選擇適合自己站點(diǎn)的SSL證書的？自簽名證書是簽名實(shí)體向自身頒發(fā)的一種證書，即發(fā)布者和證書主體是相同的。而國內(nèi)一些網(wǎng)站使用這種自簽名SSL證書，那么可以使用自簽名證書嗎？自簽名證書包含很大的安

大家是如何選擇適合自己站點(diǎn)的SSL證書的？

自簽名證書是簽名實(shí)體向自身頒發(fā)的一種證書，即發(fā)布者和證書主體是相同的。而國內(nèi)一些網(wǎng)站使用這種自簽名SSL證書，那么可以使用自簽名證書嗎？

自簽名證書包含很大的安全風(fēng)險(xiǎn)。SSL網(wǎng)站安全證書的兩大關(guān)鍵功能，除了眾所周知的加密數(shù)據(jù)外，在釣魚網(wǎng)站猖獗時(shí)，網(wǎng)站身份識(shí)別的作用尤為重要。CA機(jī)構(gòu)需要一個(gè)非常嚴(yán)格的審核過程，以便將根植入瀏覽器。只有通過根內(nèi)置證書，才能對(duì)用戶透明地驗(yàn)證服務(wù)的身份。

自簽名證書需要客戶端下載根證書，完成SSL網(wǎng)站安全證書的驗(yàn)證過程。將根證書的真實(shí)性的判斷強(qiáng)加給不知道它的用戶顯然是一個(gè)很大的風(fēng)險(xiǎn)。同樣，釣魚網(wǎng)站也可以偽造自簽名SSL網(wǎng)站安全證書來欺騙用戶。因此，自簽名證書不可用。

既然沒有自簽名證書，如何選擇國內(nèi)外知名品牌的SSL證書？

SSL證書的品牌是否重要？答案是肯定的。證書品牌的背后，關(guān)系到數(shù)據(jù)安全、服務(wù)質(zhì)量和證書的價(jià)值。SSL證書本身就是品牌，SSL證書品牌與互聯(lián)網(wǎng)業(yè)務(wù)相輔相成。利用SSL對(duì)提高高端網(wǎng)站的品牌安全價(jià)值具有重要意義。

目前SSL證書可分為三種類型：域名證書（DV SSL證書）、企業(yè)證書（OV SSL證書）和增強(qiáng)證書（EV SSL證書）。個(gè)人開發(fā)者和中小企業(yè)可以使用免費(fèi)DV產(chǎn)品；企業(yè)應(yīng)用和大型互聯(lián)網(wǎng)應(yīng)用可以選擇多域名或通配符證書；應(yīng)用推廣和圖片展示頁面可以使用高端EV服務(wù)器證書。

確認(rèn)證書的品牌和類型后，如何申請(qǐng)SSL證書？瞄準(zhǔn)網(wǎng)是國內(nèi)SSL證書服務(wù)提供商。其SSL證書覆蓋國內(nèi)外知名品牌?？蔀橛脩籼峁?×24小時(shí)技術(shù)支持服務(wù)，協(xié)助客戶進(jìn)行證書安裝檢驗(yàn)服務(wù)和技術(shù)上門服務(wù)。擁有完善的安全解決方案、領(lǐng)先的證書管理平臺(tái)和專業(yè)的技術(shù)支持團(tuán)隊(duì)，瞄準(zhǔn)網(wǎng)為中國用戶提供最好的本地化服務(wù)和服務(wù)技術(shù)支持。

SSL證書的驗(yàn)證過程？

在瀏覽器菜單中，單擊“工具/Internet選項(xiàng)”，選擇“內(nèi)容”選項(xiàng)卡，然后單擊“證書”按鈕。然后您可以看到IE瀏覽器已經(jīng)信任了許多“中間證書頒發(fā)機(jī)構(gòu)”和“受信任的根證書頒發(fā)機(jī)構(gòu)”。當(dāng)我們訪問網(wǎng)站時(shí)，瀏覽器會(huì)自動(dòng)下載網(wǎng)站的SSL證書并檢查證書的安全性。

由于證書是分級(jí)的，網(wǎng)站所有者可以從根證書頒發(fā)機(jī)構(gòu)或根證書的下一級(jí)（如國家證書頒發(fā)機(jī)構(gòu)或省頒發(fā)的證書）接收證書。假設(shè)我們正在驗(yàn)證SSL協(xié)議。在這種情況下，服務(wù)器和客戶機(jī)都必須有證書。單向身份驗(yàn)證SSL協(xié)議不要求客戶機(jī)擁有CA證書，在協(xié)商對(duì)稱密碼方案和對(duì)稱調(diào)用密鑰時(shí)，服務(wù)器向客戶機(jī)發(fā)送一個(gè)未加密（不影響SSL進(jìn)程的安全）密碼方案。這樣，雙方的具體通信內(nèi)容就是加密數(shù)據(jù)。如果存在第三方攻擊，則僅獲取加密數(shù)據(jù)。如果第三方想要獲得有用的信息，就需要對(duì)加密后的數(shù)據(jù)進(jìn)行解密。此時(shí)，安全性取決于加密方案的安全性。幸運(yùn)的是，只要通信密鑰足夠長，當(dāng)前的加密方案就足夠安全。這就是我們強(qiáng)調(diào)128位加密通信的原因。一般web應(yīng)用采用單向認(rèn)證，原因很簡單，用戶數(shù)量廣，而且不需要在通信層做用戶認(rèn)證，一般在應(yīng)用邏輯層保證用戶合法登錄。但是，如果是企業(yè)應(yīng)用對(duì)接，情況就不同了，可能需要對(duì)客戶端（相對(duì)來說）進(jìn)行身份驗(yàn)證。此時(shí)，我們需要做雙向身份驗(yàn)證。