O certyfikatach https
Protokół https musi udać się do Kalifornii, aby złożyć wniosek o certyfikat, zazwyczaj jest bardzo mało darmowych certyfikatów i trzeba zapłacić opłatę.
HTTP to protokół transmisji hipertekstu, informacje są przesyłane w tekście jawnym, a HTTPS to bezpieczny protokół transmisji szyfrowania SSL.
HTTP i https używają zupełnie innych metod połączenia i różnych portów, pierwszy to 80, a drugi 443.
połączenia HTTP są proste i bezstanowe; Protokół HTTPS to protokół sieciowy oparty na protokole SSL+HTTP, który umożliwia szyfrowaną transmisję i uwierzytelnianie tożsamości, co jest bezpieczniejsze niż protokół HTTP.
Obecnie większość stron internetowych zapomina korzystać z https, a Chrome używa https jako domyślnego połączenia przeglądarki; jeśli strona nie korzysta z https, pojawi się! logo.
Apple ogłosiło termin do 1 stycznia 2017 roku, że wszystkie aplikacje w App Store muszą mieć włączone zabezpieczenie transportu aplikacji. App Transport Security (ATS) to funkcja chroniąca prywatność wprowadzona przez Apple w iOS 9, która blokuje ładowanie zasobów HTTP w tekstie jawnym i wymaga połączenia przez bezpieczniejszy HTTPS. Apple obecnie pozwala deweloperom tymczasowo wyłączyć ATS i nadal korzystać z połączeń HTTP, ale do końca roku wszystkie aplikacje w oficjalnym sklepie będą musiały uczynić ATS obowiązkowym.
Dlatego wdrożenie https jest trendem w całej branży internetowej.
Certyfikaty
Obecnie główne certyfikaty SSL dzielą się głównie na DV SSL, OV SSL oraz EV SSL.
DV SSL
Certyfikat DV SSL to prosty (klasa 1) certyfikat SSL, który jedynie potwierdza własność domeny strony internetowej, a może zostać wydany szybko, w ciągu 10 minut.Może działać jak zaszyfrowana transmisja, ale nie może udowodnić użytkownikowi prawdziwej tożsamości strony internetowej。
Obecnie darmowe certyfikaty dostępne na rynku są tego typu, który jedynie zapewnia szyfrowanie danych, ale nie weryfikuje tożsamości osób i instytucji wydających certyfikaty.
OV SSL
OV SSL, który zapewnia funkcję szyfrowania,Kandydaci są ściśle weryfikowani, a wiarygodne certyfikaty tożsamości są dostarczane。
Różnica w stosunku do DV SSL polega na tym, że OV SSL umożliwia audyt osób lub instytucji, co pozwala potwierdzić tożsamość drugiej strony i jest bezpieczniejsze.
Więc ta część wniosku o certyfikat jest obciążona~
EV SSL
ChaoAn = EV = najbezpieczniejszy i najbardziej rygorystyczny certyfikat SSL Chaoan EV spełnia standardy uwierzytelniania zunifikowane na całym świecie i jestNajwyższy poziom bezpieczeństwa (klasa 4) certyfikat SSL w branży。
Papiery wartościowe finansowe, banki, płatności przez podmioty trzecie, centra handlowe internetowe itp., ze szczególnym uwzględnieniem bezpieczeństwa stron internetowych i wiarygodnego wizerunku korporacyjnego, związanych z płatnościami w transakcjach, informacjami o prywatności klientów oraz transmisją haseł do kont.
Ta część ma najwyższe wymagania weryfikacji i najwyższą opłatę aplikacyjną.
Wspólne podmioty wydawcze
Symantec jest wiodącym dostawcą certyfikatów SSL/TLS
China Financial Accreditation Center (CFCA) globalnie ufa certyfikatom SSL
GeoTrust jest drugim co do wielkości na świecie urzędem certyfikacyjnym w dziedzinie certyfikacji cyfrowej
Co jest nie tak z certyfikatem WoSign?
Mozilla opublikowała 13-stronicowe dochodzenie dotyczące nadużyć WoSign CA, formalnie proponując zaprzestanie ufania nowym certyfikatom wydawanym przez WoSign i StartCom na minimum rok, po czym Mozilla może je ponownie zaakceptować, jeśli WoSign i StartCom spełnią warunki.
Śledztwo wykazało, że niektóre problemy z WoTong CA nie były poważne lub nie były jego winą, ale nadal istniały bardzo poważne problemy, z których najpoważniejszym z perspektywy zaufania było celowe uzupełnienie daty certyfikatu, aby obejść ograniczenia przeglądarki na certyfikatach SHA-1. Ponieważ certyfikaty podpisujące SHA-1 nie są już bezpieczne, główni deweloperzy przeglądarek wymagają, aby wszyscy CA zaprzestali wydawania certyfikatów SHA-1 po 1 stycznia 2016 roku, jednak CA Wotong nadal wydają certyfikaty SHA-1 po 1 stycznia 2016 roku, celowo datując je, aby ukryć je jako wydane przed 2016 rokiem. Kolejnym problemem jest to, że WoSign przejął StartCom, nawet jeśli istnieją wystarczające dowody na to, że WoSign CA przejęło StartCom CA w 100%, prezes firmy Wang Gaohua nadal odmawia przyznania się do tego, i dopiero pod koniec firma macierzysta WoSign, Qihoo 360, wydawała się to przyznawać, ale Wang Gaohua nalegał, że StartCom działa niezależnie i jego oryginalny system się nie zmienił, jednak istniały wystarczające dowody techniczne, by udowodnić, że StartCom został przejęty półtora miesiąca później. Zaczął wykorzystywać infrastrukturę WoSign do wydawania certyfikatów. Strona internetowa StartCom, http://StartSSL.com, wyłączyła system aktualizacji 18 grudnia 2015 roku i przeszła na system WoSign po jego ponownym uruchomieniu 22 grudnia.
Więc na razie nie używajmy WoSign.
Usługa certyfikatu Cloud Shield Alibaba Cloud również usunęła usługi WoSign.
|
Opublikowano 14.08.2017 19:43:05
|
|
|
Opublikowano 15.08.2017 06:36:52
|
Opublikowano 15.08.2017 09:49:22