Über https-Zertifikate
Das https-Protokoll muss nach CA gehen, um ein Zertifikat zu beantragen, in der Regel gibt es nur sehr wenige kostenlose Zertifikate, und man muss eine Gebühr zahlen.
HTTP ist ein Hypertext-Übertragungsprotokoll, Informationen werden im Klartext übertragen, und HTTPS ist ein sicheres SSL-Verschlüsselungsprotokoll.
HTTP und HTTPS verwenden völlig unterschiedliche Verbindungsmethoden und unterschiedliche Ports, ersterer 80, letzterer 443.
HTTP-Verbindungen sind einfach und zustandslos; Das HTTPS-Protokoll ist ein Netzwerkprotokoll, das auf dem SSL+HTTP-Protokoll basiert und verschlüsselte Übertragungen und Identitätsauthentifizierung durchführen kann, was sicherer ist als das HTTP-Protokoll.
Zurzeit vergessen die meisten Webseiten, auf https zu gehen, und Chrome nutzt auch https als Standardverbindung des Browsers; wenn die Website kein HTTPS verwendet, erscheint es! Logo.
Apple hat eine Frist bis zum 1. Januar 2017 angekündigt, bei der alle Apps im App Store App Transport Security aktiviert sein müssen. App Transport Security (ATS) ist eine von Apple mit iOS 9 eingeführte Datenschutzfunktion, die das Laden von Klartext-HTTP-Ressourcen blockiert und Verbindungen über sichereres HTTPS erfordert. Apple erlaubt derzeit Entwicklern, ATS vorübergehend auszuschalten und weiterhin HTTP-Verbindungen zu nutzen, aber bis Ende des Jahres müssen alle Apps im offiziellen Store ATS verpflichtend machen.
Daher ist die Implementierung von https der Trend der gesamten Internetbranche.
Zertifikate
Derzeit sind die gängigen SSL-Zertifikate hauptsächlich in DV SSL, OV SSL und EV SSL unterteilt.
DV SSL
Das DV SSL-Zertifikat ist ein einfaches (Klasse 1) SSL-Zertifikat, das nur den Besitz der Website-Domain überprüft und in 10 Minuten schnell ausgestellt werden kann.Sie kann als verschlüsselte Übertragung fungieren, aber sie kann dem Nutzer nicht die wahre Identität der Website nachweisen。
Derzeit sind die kostenlosen Zertifikate auf dem Markt von diesem Typ, der lediglich Datenverschlüsselung bietet, aber nicht die Identität der Personen und Institutionen, die die Zertifikate bereitstellen, überprüft.
OV SSL
OV SSL, das die Verschlüsselungsfunktion bereitstellt,Die Bewerber werden streng überprüft und glaubwürdige Identitätszertifikate werden ausgestellt。
Der Unterschied zu DV SSL besteht darin, dass OV SSL eine Prüfung von Personen oder Institutionen ermöglicht, die die Identität der anderen Partei bestätigen und sicherer ist.
Dieser Teil des Zertifikatsantrags ist also belastet~
EV SSL
ChaoAn = EV = das sicherste und strengste Chaoan EV SSL-Zertifikat folgt den strengen Authentifizierungsstandards, die weltweit einheitlich sind, und istDas branchenhöchste Sicherheitsniveau (Klasse 4) SSL-Zertifikat。
Finanzwertpapiere, Banken, Drittzahlungen, Online-Einkaufszentren usw., mit Fokus auf Website-Sicherheit und dem glaubwürdigen Image von Websites, einschließlich Transaktionszahlungen, Kundendatenschutzinformationen und Übertragung von Kontopasswörtern.
Dieser Teil hat die höchsten Verifikationsanforderungen und die teuerste Antragsgebühr.
Gemeinsame ausstellende Stellen
Symantec ist ein führender Anbieter von SSL/TLS-Zertifikaten
Das China Financial Accreditation Center (CFCA) vertraut weltweit SSL-Zertifikaten
GeoTrust ist die zweitgrößte digitale Zertifizierungsstelle der Welt
Was stimmt nicht mit dem WoSign-Zertifikat?
Mozilla hat eine 13-seitige Untersuchung zum Fehlverhalten von WoSign CA veröffentlicht und offiziell vorgeschlagen, das Vertrauen in neue von WoSign und StartCom ausgestellte Zertifikate für mindestens ein Jahr einzustellen, danach kann Mozilla sie erneut akzeptieren, wenn WoSign und StartCom die Bedingungen erfüllen.
Die Untersuchung stellte fest, dass einige der Probleme mit WoTong CA nicht schwerwiegend oder nicht deren Schuld waren, es aber dennoch äußerst schwerwiegende Probleme gab, von denen aus Vertrauenssicht das schwerwiegendste das absichtliche Nachfüllen des Zertifikatsdatums war, um Browserbeschränkungen für SHA-1-Zertifikate zu umgehen. Da SHA-1-Signierungszertifikate nicht mehr sicher sind, verlangen große Browserentwickler, dass alle CAs nach dem 1. Januar 2016 keine SHA-1-Zertifikate mehr ausstellen, jedoch stellen Wotong-CAs SHA-1-Zertifikate nach dem 1. Januar 2016 weiterhin aus, indem sie diese Zertifikate absichtlich rückdatieren, um sie so zu tarnen, als wären sie vor 2016 ausgestellt worden. Ein weiteres Problem ist, dass WoSign StartCom übernommen hat, selbst wenn es genügend Beweise dafür gibt, dass WoSign CA StartCom CA zu 100 % erworben hat, weigert sich der CEO des Unternehmens, Wang Gaohua, dies weiterhin zuzugeben, und erst am Ende gab das Mutterunternehmen Qihoo 360 dies zu, doch Wang Gaohua bestand darauf, dass StartCom unabhängig agierte und sich das ursprüngliche System nicht geändert habe, es jedoch genügend technische Beweise gab, um zu beweisen, dass StartCom eineinhalb Monate später übernommen wurde. Es begann, die Infrastruktur von WoSign zu nutzen, um Zertifikate auszustellen. Die Website von StartCom, http://StartSSL.com, stellte das Upgrade-System am 18. Dezember 2015 ab und wechselte bei der Wiedereröffnung am 22. Dezember zum System von WoSign.
Also lass uns WoSign vorerst nicht verwenden.
Auch der Cloud Shield-Zertifikatsdienst von Alibaba Cloud hat die Dienste von WoSign entfernt.
|
Veröffentlicht am 14.08.2017 19:43:05
|
|
|
Veröffentlicht am 15.08.2017 06:36:52
|
Veröffentlicht am 15.08.2017 09:49:22