我知道 Verizon SSL 证书的成本接近 600 美元。有几个便宜的选择,但我从来没有真正理解为什么 Verizon 不提供这样的证书。在 nameCheap寻找RapidSSL。他们没有说 20 美元计划的加密。
假设以上不提供加密:手动生成 SSL 证书是否提供相互加密?
我在 SSL 证书上看到了几个问题,但看起来他们都没有回答我的问题:
对于没有 SSL 证书背景的我来说, Avid对第一个问题的回答听起来有点复杂。
哪些类型的 SSL 证书可用于加密?
信息安全
加密
密码学
tls
公钥基础设施
证书颁发机构
2021-08-18 15:01:51
4个回答
证书不提供加密。加密来自 SSL 本身。该证书旨在让客户相信,它尽职尽责地加密的数据确实发送到了真正的预期服务器,而不是其他人冒充服务器。SSL 服务器的证书可以使用仅适用于数字签名的密钥(例如 DSA 密钥),并且数据仍将被加密。
来自商业 CA 的证书价格受以下趋势驱动:
CA 应该对购买证书的人的身份进行或多或少的彻底检查。这就是 CA 的全部和唯一要点:将“物理身份”与公钥联系起来。这种验证需要人工,而且成本可能很高。
CA 有保险。当您购买证书时,CA 将对 CA 可能出现的安全问题负责,这些问题可能来自 CA 未遵循其“认证政策声明”中定义的预期验证程序。简而言之,当您购买更昂贵的证书时,您有权起诉他们要求更多的钱。
商业 CA 将尽可能向您收取费用。如果 CA 向您出售 600 美元的证书,那么这意味着他们估计如果价格为 650 美元,他们将失去太多的销售。证书的商业价值来自于 SSL 客户端的浏览器已经知道 CA 根密钥这一事实;对于 Windows / Internet Explorer,已知 CA 的默认列表由 Microsoft 管理,它们不会只包括任何 CA。因此,CA 市场并非完全开放,竞争无法降低价格。目前,SSL 证书的价格往往过高。例如,这让Thawte 创始人 Mark Shuttleworth购买了一次太空之旅,然后创建并资助了Ubuntu Linux 发行版 ——因此可以假设商业 CA 从每个售出的证书中赚取相当多的利润。
您可以创建自己的证书(例如,OpenSSL是一个可以做到这一点的免费工具;请参阅EJBCA以获得更好的界面);自制证书通常是自签名的(在证书中,必须有颁发 CA 的签名;该格式不允许省略该签名字段;因此,在展台的情况下,习惯上让证书“自己签名” -单独的无 CA 证书)。自制证书的实际后果是,Web 浏览器在第一次遇到它们时会显示一些可怕的警告(但用户非常擅长忽略警告——顺便说一句,这也是一个问题,一般来说)。
您似乎对 SSL 的实际作用有些困惑。SSL 交易总是加密的——总是。如果没有加密,它们甚至都不存在。您想了解的是身份验证,这是完全不同的。[更新:可以选择非加密算法。]
在正常的购物场景下,比如 Amazon.com,您的连接是端到端加密的。你怎么知道他们是他们所说的人?威瑞信用他们的私钥签署了他们的证书。您的浏览器附带 Verisign 证书,因此您可以确定您正在访问的 amazon.com 是 Verisign 签署的。他们只知道您是您声称的身份,因为您知道自己的密码。因此,您通过 PKI 证书认识他们,他们通过密码认识您。
在某些情况下,客户端和服务器都可以使用 PKI 证书来标识自己。这可以通过本地文件、USB 设备或智能卡读卡器来完成。在这种情况下,您检查客户的签名,他们检查您的。
我建议参与CAcert。它是一个免费的、社区支持的证书颁发机构。唯一的缺点(可能是一个很大的缺点)是它们的主要浏览器还没有发布他们的根证书。您可以自由使用它,但您可能必须自己将其分发到您的浏览器。这至少是值得学习和思考的。
通常,证书几乎是等价的——加密证书有一个明确的标准(X.509),虽然证书有不同的“模式”,但它们通常都支持您想要使用的任何类型的加密。
我公认的复杂答案(因为这并不简单)主要适用于服务器配置。例如,密码套件在 Web 服务器(和浏览器)中配置。
证书主要是一个公钥(带有关联的私钥),带有附加字段,以及一个“包装器”,用于证明有人验证了证书持有者的身份。
(请注意,证书中也指定了加密算法,但这适用于证书的签名等。)
如果您需要更多信息,请告诉我...
RapidSSL 将像任何 SSL 证书一样提供加密(在某些情况下,服务器-客户端连接可能最终使用空密码,但这不取决于证书)
此外,在某些环境中,免费的自签名 SSL 证书是一个完全合理的选择。
您看到的证书成本差异通常归结为证书颁发机构所做的检查级别以及证书提供的其他“功能”,例如它可以用于什么以及它是否是通配符证书。
更便宜的证书往往不需要 CA 进行大量检查,即您实际上有权获得给定域的证书,有些证书可能只需能够接收到某些预先指定的电子邮件地址的电子邮件在给定的域(例如,ssladmin@domain)。
该理论认为,具有更多检查的更昂贵的证书更好,因为用户可以更加信任它是合法的。然而,几乎没有用户检查过证书颁发者,所以我不确定这是一个正当的理由。
关于公共服务证书的主要注意事项是,用于签署您的根证书的根证书嵌入在所有主要浏览器中。如果不是这种情况,您的用户将在连接到您的站点时收到证书警告,这可能会阻止他们使用它。
有一个例外是使用“EV-SSL”,它在银行和一些大型电子商务网站中非常流行。EV 证书将在浏览器中提供一些视觉通知,表明它正在使用中,旨在让用户觉得对该连接有更多的信任。
要获得 EV 证书,颁发 CA 应该进行大量检查,以确保您是证书的适当所有者,这是他们成本较高的原因之一。
其它你可能感兴趣的问题