Informazioni sui certificati https
Il protocollo https deve andare in California per richiedere un certificato, generalmente ci sono pochissimi certificati gratuiti e devi pagare una quota.
HTTP è un protocollo di trasmissione ipertestuale, le informazioni vengono trasmesse in testo chiaro, e HTTPS è un protocollo di trasmissione SSL sicuro.
HTTP e https usano metodi di connessione e porte completamente differenti, il primo è 80, il secondo 443.
Le connessioni HTTP sono semplici e senza stato; Il protocollo HTTPS è un protocollo di rete costruito sul protocollo SSL+HTTP che può eseguire trasmissioni criptate e autenticazione di identità, più sicuro rispetto al protocollo HTTP.
Attualmente, la maggior parte dei siti web dimentica di andare su https, e Chrome usa https come connessione predefinita del browser; se il sito non usa https, apparirebbe! logo.
Apple ha annunciato una scadenza entro il 1° gennaio 2017 secondo cui tutte le app nell'App Store devono avere abilitata App Transport Security. App Transport Security (ATS) è una funzione che preserva la privacy introdotta da Apple in iOS 9 e blocca il caricamento delle risorse HTTP in chiaro e richiede che le connessioni passino attraverso un HTTPS più sicuro. Attualmente Apple consente agli sviluppatori di disattivare temporaneamente ATS e può continuare a usare connessioni HTTP, ma entro la fine dell'anno tutte le app nello store ufficiale dovranno rendere ATS obbligatorio.
Pertanto, l'implementazione di https è la tendenza di tutta l'industria di Internet.
Certificati
Attualmente, i certificati SSL principali sono principalmente suddivisi in DV SSL, OV SSL ed EV SSL.
DV SSL
Il certificato DV SSL è un semplice certificato SSL (Classe 1) che verifica solo la proprietà del nome di dominio del sito web, che può essere emesso rapidamente in 10 minuti.Può agire come una trasmissione criptata, ma non può dimostrare la vera identità del sito all'utente。
Attualmente, i certificati gratuiti sul mercato sono di questo tipo, che fornisce solo la crittografia dei dati, ma non verifica l'identità degli individui e delle istituzioni che forniscono i certificati.
OV SSL
OV SSL, che fornisce la funzione di crittografia,I candidati vengono rigorosamente verificati e vengono forniti certificati d'identità credibili。
La differenza rispetto al DV SSL è che l'OV SSL fornisce audit di individui o istituzioni, che può confermare l'identità dell'altra parte ed è più sicuro.
Quindi questa parte della domanda del certificato viene addebitata~
EV SSL
ChaoAn = EV = il certificato SSL Chaoan EV più sicuro e rigoroso segue gli standard di autenticazione rigorosi unificati a livello globale ed èIl più alto livello di sicurezza del settore (Classe 4) certificato SSL。
Titoli finanziari, banche, pagamenti di terze parti, centri commerciali online, ecc., concentrandosi sulla sicurezza dei siti web e sull'immagine aziendale credibile dei siti web, riguardo al pagamento delle transazioni, alle informazioni sulla privacy dei clienti e alla trasmissione delle password degli account.
Questa parte ha i requisiti di verifica più elevati e la tariffa di domanda più elevata.
Organi emissionari comuni
Symantec è un fornitore leader di certificati SSL/TLS
Il China Financial Accreditation Center (CFCA) si fida globalmente dei certificati SSL
GeoTrust è la seconda più grande autorità di certificazione digitale al mondo
Cosa c'è che non va nel certificato WoSign?
Mozilla ha pubblicato un'indagine di 13 pagine sulle cattiva condotta di WoSign CA, proponendo formalmente di smettere di fidarsi dei nuovi certificati emessi da WoSign e StartCom per un periodo minimo di un anno, dopo il quale Mozilla potrà riaccettarli se WoSign e StartCom soddisferanno le condizioni.
L'indagine ha riportato che alcuni dei problemi con WoTong CA non erano gravi o non erano colpa sua, ma c'erano comunque alcuni problemi estremamente gravi, il più grave dei quali, dal punto di vista della fiducia, era il ripristino deliberato della data del certificato per bypassare le restrizioni del browser sui certificati SHA-1. Poiché i certificati di firma SHA-1 non sono più sicuri, i principali sviluppatori di browser richiedono a tutte le CA di smettere di emettere certificati SHA-1 dopo il 1° gennaio 2016, tuttavia le CA di Wotong continuano a emettere certificati SHA-1 dopo il 1° gennaio 2016, retrodatando deliberatamente questi certificati per mascherarli come se fossero stati rilasciati prima del 2016. Un altro problema è che WoSign ha acquisito StartCom, anche se ci sono prove sufficienti che WoSign CA abbia acquisito StartCom CA al 100%, il CEO dell'azienda Wang Gaohua si rifiuta ancora di ammetterlo, e solo alla fine la società madre di WoSign, Qihoo 360, sembrò ammetterlo, ma Wang Gaohua insistette che StartCom operava in modo indipendente e che il suo sistema originale non era cambiato, ma c'erano prove tecniche sufficienti per dimostrare che StartCom era stata acquisita un mese e mezzo dopo. Ha iniziato a utilizzare l'infrastruttura di WoSign per emettere certificati. Il sito web di StartCom, http://StartSSL.com, ha chiuso il sistema di aggiornamento il 18 dicembre 2015 e è passato al sistema di WoSign quando ha riaperto il 22 dicembre.
Quindi per ora non usiamo WoSign.
Anche il servizio di certificazione Cloud Shield di Alibaba Cloud ha rimosso i servizi di WoSign.
|
Pubblicato su 14/08/2017 19:43:05
|
|
|
Pubblicato su 15/08/2017 06:36:52
|
Pubblicato su 15/08/2017 09:49:22