大家是如何選擇適合自己站點(diǎn)的SSL證書(shū)的？自簽名證書(shū)是簽名實(shí)體向自身頒發(fā)的一種證書(shū)，即發(fā)布者和證書(shū)主體是相同的。而國(guó)內(nèi)一些網(wǎng)站使用這種自簽名SSL證書(shū)，那么可以使用自簽名證書(shū)嗎？自簽名證書(shū)包含很大的安

大家是如何選擇適合自己站點(diǎn)的SSL證書(shū)的？

自簽名證書(shū)是簽名實(shí)體向自身頒發(fā)的一種證書(shū)，即發(fā)布者和證書(shū)主體是相同的。而國(guó)內(nèi)一些網(wǎng)站使用這種自簽名SSL證書(shū)，那么可以使用自簽名證書(shū)嗎？

自簽名證書(shū)包含很大的安全風(fēng)險(xiǎn)。SSL網(wǎng)站安全證書(shū)的兩大關(guān)鍵功能，除了眾所周知的加密數(shù)據(jù)外，在釣魚(yú)網(wǎng)站猖獗時(shí)，網(wǎng)站身份識(shí)別的作用尤為重要。CA機(jī)構(gòu)需要一個(gè)非常嚴(yán)格的審核過(guò)程，以便將根植入瀏覽器。只有通過(guò)根內(nèi)置證書(shū)，才能對(duì)用戶(hù)透明地驗(yàn)證服務(wù)的身份。

自簽名證書(shū)需要客戶(hù)端下載根證書(shū)，完成SSL網(wǎng)站安全證書(shū)的驗(yàn)證過(guò)程。將根證書(shū)的真實(shí)性的判斷強(qiáng)加給不知道它的用戶(hù)顯然是一個(gè)很大的風(fēng)險(xiǎn)。同樣，釣魚(yú)網(wǎng)站也可以偽造自簽名SSL網(wǎng)站安全證書(shū)來(lái)欺騙用戶(hù)。因此，自簽名證書(shū)不可用。

既然沒(méi)有自簽名證書(shū)，如何選擇國(guó)內(nèi)外知名品牌的SSL證書(shū)？

SSL證書(shū)的品牌是否重要？答案是肯定的。證書(shū)品牌的背后，關(guān)系到數(shù)據(jù)安全、服務(wù)質(zhì)量和證書(shū)的價(jià)值。SSL證書(shū)本身就是品牌，SSL證書(shū)品牌與互聯(lián)網(wǎng)業(yè)務(wù)相輔相成。利用SSL對(duì)提高高端網(wǎng)站的品牌安全價(jià)值具有重要意義。

目前SSL證書(shū)可分為三種類(lèi)型：域名證書(shū)（DV SSL證書(shū)）、企業(yè)證書(shū)（OV SSL證書(shū)）和增強(qiáng)證書(shū)（EV SSL證書(shū)）。個(gè)人開(kāi)發(fā)者和中小企業(yè)可以使用免費(fèi)DV產(chǎn)品；企業(yè)應(yīng)用和大型互聯(lián)網(wǎng)應(yīng)用可以選擇多域名或通配符證書(shū)；應(yīng)用推廣和圖片展示頁(yè)面可以使用高端EV服務(wù)器證書(shū)。

確認(rèn)證書(shū)的品牌和類(lèi)型后，如何申請(qǐng)SSL證書(shū)？瞄準(zhǔn)網(wǎng)是國(guó)內(nèi)SSL證書(shū)服務(wù)提供商。其SSL證書(shū)覆蓋國(guó)內(nèi)外知名品牌?？蔀橛脩?hù)提供7×24小時(shí)技術(shù)支持服務(wù)，協(xié)助客戶(hù)進(jìn)行證書(shū)安裝檢驗(yàn)服務(wù)和技術(shù)上門(mén)服務(wù)。擁有完善的安全解決方案、領(lǐng)先的證書(shū)管理平臺(tái)和專(zhuān)業(yè)的技術(shù)支持團(tuán)隊(duì)，瞄準(zhǔn)網(wǎng)為中國(guó)用戶(hù)提供最好的本地化服務(wù)和服務(wù)技術(shù)支持。

SSL證書(shū)的驗(yàn)證過(guò)程？

在瀏覽器菜單中，單擊“工具/Internet選項(xiàng)”，選擇“內(nèi)容”選項(xiàng)卡，然后單擊“證書(shū)”按鈕。然后您可以看到IE瀏覽器已經(jīng)信任了許多“中間證書(shū)頒發(fā)機(jī)構(gòu)”和“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”。當(dāng)我們?cè)L問(wèn)網(wǎng)站時(shí)，瀏覽器會(huì)自動(dòng)下載網(wǎng)站的SSL證書(shū)并檢查證書(shū)的安全性。

由于證書(shū)是分級(jí)的，網(wǎng)站所有者可以從根證書(shū)頒發(fā)機(jī)構(gòu)或根證書(shū)的下一級(jí)（如國(guó)家證書(shū)頒發(fā)機(jī)構(gòu)或省頒發(fā)的證書(shū)）接收證書(shū)。假設(shè)我們正在驗(yàn)證SSL協(xié)議。在這種情況下，服務(wù)器和客戶(hù)機(jī)都必須有證書(shū)。單向身份驗(yàn)證SSL協(xié)議不要求客戶(hù)機(jī)擁有CA證書(shū)，在協(xié)商對(duì)稱(chēng)密碼方案和對(duì)稱(chēng)調(diào)用密鑰時(shí)，服務(wù)器向客戶(hù)機(jī)發(fā)送一個(gè)未加密（不影響SSL進(jìn)程的安全）密碼方案。這樣，雙方的具體通信內(nèi)容就是加密數(shù)據(jù)。如果存在第三方攻擊，則僅獲取加密數(shù)據(jù)。如果第三方想要獲得有用的信息，就需要對(duì)加密后的數(shù)據(jù)進(jìn)行解密。此時(shí)，安全性取決于加密方案的安全性。幸運(yùn)的是，只要通信密鑰足夠長(zhǎng)，當(dāng)前的加密方案就足夠安全。這就是我們強(qiáng)調(diào)128位加密通信的原因。一般web應(yīng)用采用單向認(rèn)證，原因很簡(jiǎn)單，用戶(hù)數(shù)量廣，而且不需要在通信層做用戶(hù)認(rèn)證，一般在應(yīng)用邏輯層保證用戶(hù)合法登錄。但是，如果是企業(yè)應(yīng)用對(duì)接，情況就不同了，可能需要對(duì)客戶(hù)端（相對(duì)來(lái)說(shuō)）進(jìn)行身份驗(yàn)證。此時(shí)，我們需要做雙向身份驗(yàn)證。