本文已参与「新人创作礼」活动,一起开启掘金创作之路。
前言
通常对于服务器证书而言,我们可以使用自签名证书,机构颁发证书。关于本文,简述CA,DV,OV,EV证书,以及CRT,CSR,PEM,KEY等关于证书与加密。
关于SSL证书
简介
什么是CA数字证书
- CA数字证书是由CA机构发行的。
- CA机构是国家所认可的具有权威、公平公正的第三方机构,其作用是验证数字证书拥有者是否合法,并以此签发证书。
- 市面上我们看到的大多数证书以及一些其他证书签名,都是由CA机构发行的。
证书种类
CA/B论坛将国际主流CA签发的证书通过证书审核的内容划分为3种类型,分别是:DV,OV,EV类型。
1、域名验证证书(DV SSL)
2、组织验证证书(OV SSL)
3、扩展验证证书(EV SSL)
-
DV SSL证书:指只验证网站域名所有权的简易型SSL证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份。
-
OV SSL证书是Organization Validation SSL的缩写,指需要验证网站所有单位的真实身份的标准型SSL证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
-
EV SSL是Extended Validation SSL的缩写,指遵循全球统一的严格身份验证标准颁发的SSL证书,是目前业界最高安全级别的SSL证书。
更详细的解释:
域名验证证书(DV SSL)
获得这种SSL证书类型的验证过程是最少的,因此,域名验证SSL证书提供的保证和加密最少。它们往往用于博客或信息网站,既不涉及数据收集或在线支付的网站。此SSL证书类型是获得成本最低且最快的证书类型之一。验证过程只要求网站所有者通过回复电子邮件或电话来证明域所有权。浏览器地址栏只显示HTTPS和一个不显示企业名称的挂锁。
组织验证证书(OV SSL)
此版本的SSL证书具有与EVSSL证书类似的保证级别,因为获得了一个网站所有者需要完成大量的验证过程。此类证书还在地址栏中显示网站所有者的信息,以区分恶意网站。OV SSL证书往往是第二昂贵的(仅次于EV SSL),它们的主要目的是在交易期间加密用户的敏感信息。商业或面向公众的网站必须安装OV SSL证书,以确保共享的任何客户信息保持机密。
扩展验证证书(EV SSL)
极为严格的SSL证书,这是SSL证书中排名最高和最昂贵的类型。它往往用于收集数据并涉及在线支付的知名网站。安装后,此SSL证书会在浏览器地址栏上显示挂锁、HTTPS、企业名称和国家/地区。在地址栏中显示网站所有者的信息有助于将网站与恶意网站区分开来。要设置EV SSL证书,网站所有者必须经过标准化的身份验证流程,以确认他们已合法获得该域名的专有权利。
数字证书优势
-
身份认证: 在网络中传递信息的双方互相不能见面,利用数字证书可确认双方身份,而不是他人冒充的。
-
保密性: 通过使用数字证书对信息加密,只有接收方才能阅读加密的信息,从而保证信息不会被他人窃取。
-
完整性: 利用数字证书可以校验传送的信息在传递的过程中是否被篡改过或丢失。
-
内容认证: 利用数字证书进行数字签名,可准确标示签名人身份及验证签名内容,因此签名人对签名及签名内容具有不可否认性,其作用与手写签名具有同样的法律效力
适用性
DV证书:域名级别验证的证书:适合个人小型网站。
OV证书:企业身份验证的证书:需要提交企业营业执照等企业有效资质。适合企事业单位。
差异
DV和OV型证书最大的差别是:
- DV型证书不包含企业名称信息
- OV型证书包含企业名称信息
| DV | OV | |
| 包含企业名称信息 | 否 | 是 |
| 验证公司名称合法性 | 否 | 是 |
| 通过第三方查询电话验证 | 否 | 是 |
| 域名验证方式 | 管理员邮箱批准 | 查询whois信息是否一致 |
| 验证时间 | 最快10分钟签发 | 一般2-3天完成签发 |
| 证书可信度 | 低 | 较高 |
保护
根据保护域保护,又分为以下类
- 单域名
- 多域名
- 单域名通配符
- 多域名通配符
- 混合
算法
证书算法一般具有以下两类
RSA
1976年,由于对称加密算法已经不能满足需要,一篇叫《密码学新动向》的文章中介绍了公匙加密的概念,由 Rivet、Shamir、Adelman提出了 RSA 算法。RSA 就是他们三人姓氏开头字母拼在一起组成的。
现在 SSL 证书普遍使用的是RSA算法。但随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展,为了保障数据的安全,RSA 的密钥需要不断增加。但是,密钥长度的增加导致了其加解密的速度大为降低,硬件实现也变得越来越难以忍受,这对使用RSA的应用带来了很重的负担,因此,需要一种新的算法来代替RSA。
ECC
1985年,N.Koblitz和Miller提出l将椭圆曲线用于密码算法,即ECC算法。该算法是根据有限域上的椭圆曲线上的点群中的离散对数问题(ECDLP)。ECDLP 是比因子分解问题更难的问题,它是指数级的难度。
现在,使用ECC算法作为其公钥算法的数字证书近几年的发展不容小觑。2008年左右,Certificate Authority(CA)开始储备ECC根证书,2012年左右CA开始对外公开销售ECC证书,2014年ECC证书在国外被普遍开始使用,2015年国内开始接受ECC证书。
性能对比
随着安全性要求的提高,高速的ECC加密算法更具技术优势。以下为ECC和RSA性能对比图。
某些公司可能会提供RSA、ECC双加密证书,保障网站安全性。
