当我担心这些文章中的观点时,我打算为我的一个网站购买 SSL 证书:
SSL 是否更安全?他们在说什么?我认为 SSL 是防弹的,但现在我很困惑。
如果 SSL 不再安全,关于保护我的客户端和我的服务器之间通过 HTTP 交换的信息,除了 SSL 证书,我还有什么选择?
除第三个链接外,所有链接均指受 poodle 漏洞影响的 SSLv3(版本 3)。您应该使用 TLS 协议,它是 SSL 的继承者并且不受影响。您应该配置您的 Web 服务器以支持 TLS 1.0、1.1 和 1.2,它们应该涵盖大多数设备,除了一些过时的设备,例如 IE6.0,同时仍然保持安全。用于两种协议的证书是相同的。
大多数大众媒体网站将 TLS/SSL 简称为 SSL。它们实际上是两个独立的协议。
至于第三个链接,它指的是 IPv6 取代 SSL。我的观点是,IPv6 至少需要几年时间才能成为事实上的寻址方案。同时,SSL 证书将保护您的网站。毕竟,如果您担心它会在不久的将来过时,您可以购买 1-2 年的证书。
信息安全岛:IPv6 - SSL 的消亡
这篇文章讨论了使用 IPSec 作为 IPv6 的组成部分而不是 SSL/TLS。IPSec主要将加密从应用层转移到传输层。
但是,SSL/TLS 的主要问题不是协议或加密代码中的缺陷。相反,主要问题是 PKI,即正确使用证书和 CA 来建立和传播信任,从而提供可信任的身份验证。IPSec 在这方面没有任何改进。即使 IPSec 将在任何地方使用,它也可能会使用我们已经在 SSL/TLS 中使用的相同损坏的 PKI。在这两种情况下都需要证书。
除了关于 SSL 与 TLS 与证书混淆的其他好的答案之外,您是否应该继续“购买”SSL 证书的问题可能会受到即将推出的Let's Encrypt(由 EFF、Mozilla 等人赞助)的影响,它将在 2015 年开始提供免费的交钥匙 SSL 证书。
除非您需要精美的证书(EV、通配符等,Let's Encrypt 可能不一定能够提供),否则您将能够在您的网站上使用他们的证书而无需支付一分钱。
尽管已经有一些其他的 CA 提供免费证书(Startcom 是比较知名的例子之一),但我相信 Let's Encrypt 也将成为第一个将免费产品扩展到商业网站的主要参与者。