À propos des certificats https
Le protocole HTTPS doit aller en Californie pour demander un certificat, en général il y a très peu de certificats gratuits, et il faut payer des frais.
HTTP est un protocole de transmission hypertexte, l’information est transmise en clair, et HTTPS est un protocole sécurisé de transmission de chiffrement SSL.
HTTP et HTTPS utilisent des méthodes de connexion et des ports complètement différents, le premier est à 80, le second à 443.
Les connexions HTTP sont simples et sans état ; Le protocole HTTPS est un protocole réseau construit sur le protocole SSL+HTTP capable d’effectuer une transmission et une authentification d’identité chiffrées, ce qui est plus sécurisé que le protocole HTTP.
Actuellement, la plupart des sites oublient d’aller à https, et Chrome utilise aussi https comme connexion par défaut du navigateur, si le site n’utilise pas https, il apparaîtra ! logo.
Apple a annoncé une date limite d’ici le 1er janvier 2017 selon laquelle toutes les applications de l’App Store doivent avoir la sécurité du transport d’applications activée. La sécurité du transport d’applications (ATS) est une fonctionnalité de préservation de la vie privée introduite par Apple dans iOS 9 qui bloque le chargement des ressources HTTP en clair et exige que les connexions passent par un HTTPS plus sécurisé. Apple permet actuellement aux développeurs de désactiver temporairement ATS et peut continuer à utiliser les connexions HTTP, mais d’ici la fin de l’année, toutes les applications du store officiel devront rendre ATS obligatoire.
Par conséquent, la mise en œuvre du https est la tendance de toute l’industrie Internet.
Certificats
Actuellement, les certificats SSL principaux sont principalement divisés en DV SSL, OV SSL et EV SSL.
DV SSL
Le certificat SSL DV est un simple certificat SSL (classe 1) qui ne vérifie que la propriété du nom de domaine du site web, pouvant être émis rapidement en 10 minutes.Il peut agir comme une transmission chiffrée, mais il ne peut pas prouver la véritable identité du site web à l’utilisateur。
Actuellement, les certificats gratuits sur le marché sont de ce type, qui ne fournissent que le chiffrement des données, mais ne vérifient pas l’identité des individus et institutions qui fournissent les certificats.
OV SSL
OV SSL, qui fournit la fonction de chiffrement,Les candidats sont strictement vérifiés et des certificats d’identité crédibles sont fournis。
La différence avec DV SSL est que OV SSL permet un audit des individus ou des institutions, ce qui peut confirmer l’identité de l’autre partie et est plus sécurisé.
Donc cette partie de la demande de certificat est facturée~
EV SSL
ChaoAn = EV = le certificat SSL Chaoan EV le plus sécurisé et le plus strict suit les normes d’authentification strictes unifiées mondialement et estLe plus haut niveau de sécurité de l’industrie (Classe 4) certificat SSL。
Titres financiers, banques, paiements tiers, centres commerciaux en ligne, etc., se concentrant sur la sécurité des sites web et l’image crédible des sites web par l’entreprise, impliquant le paiement des transactions, les informations de confidentialité des clients et la transmission de mots de passe de compte.
Cette partie a les exigences de vérification les plus strictes et les frais de candidature les plus élevés.
Organismes émettrics communs
Symantec est un fournisseur leader de certificats SSL/TLS
Le Centre d’accréditation financière chinois (CFCA) fait confiance mondialement aux certificats SSL
GeoTrust est la deuxième plus grande autorité de certification numérique au monde
Qu’y a-t-il de mal avec le certificat WoSign ?
Mozilla a publié une enquête de 13 pages sur les inconduites de WoSign CA, proposant officiellement de cesser de faire confiance aux nouveaux certificats émis par WoSign et StartCom pour une période minimale d’un an, après quoi Mozilla pourra les accepter à nouveau si WoSign et StartCom remplissent les conditions.
L’enquête a révélé que certains problèmes liés à WoTong CA n’étaient pas graves ou n’étaient pas de sa faute, mais il subsistait tout de même des problèmes extrêmement graves, dont le plus grave, d’un point de vue de confiance, était de remettre délibérément en arrière la date du certificat pour contourner les restrictions des navigateurs sur les certificats SHA-1. Puisque les certificats de signature SHA-1 ne sont plus sécurisés, les principaux développeurs de navigateurs exigent que toutes les autorités locales cessent d’émettre les certificats SHA-1 après le 1er janvier 2016, cependant les autorités locales de Wotong continuent d’émettre des certificats SHA-1 après le 1er janvier 2016, en rétrodatant délibérément ces certificats pour les faire croire qu’ils avaient été émis avant 2016. Un autre problème est que WoSign a acquis StartCom, même s’il existe suffisamment de preuves que WoSign CA a acquis StartCom CA à 100 %, le PDG de l’entreprise, Wang Gaohua, refuse toujours de l’admettre, et ce n’est qu’à la fin que la société mère de WoSign, Qihoo 360, a semblé l’admettre, mais Wang Gaohua a insisté sur le fait que StartCom fonctionnait de manière indépendante et que son système d’origine n’avait pas changé, mais qu’il y avait suffisamment de preuves techniques pour prouver que StartCom avait été acquis un mois et demi plus tard. Elle a commencé à utiliser l’infrastructure de WoSign pour délivrer des certificats. Le site web de StartCom, http://StartSSL.com, a fermé le système de mise à niveau le 18 décembre 2015, puis est passé au système de WoSign lors de sa réouverture le 22 décembre.
Alors n’utilisons pas WoSign pour l’instant.
Le service de certificat Cloud Shield d’Alibaba Cloud a également supprimé les services de WoSign.
|
Publié sur 14/08/2017 19:43:05
|
|
|
Publié sur 15/08/2017 06:36:52
|
Publié sur 15/08/2017 09:49:22