一、数字证书的起源与历史
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,它提供了一种在Internet上验证用户身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
证书的格式遵循 ITUT X.509国际标准,X.509最早与X.500一起发布于1988年7月3日。它假设有一套严格的层次化的证书颁发机构(CA)。
X.500系统仅由主权国家实施,以实现国家身份信息共享条约的实施目的;而IETF的公钥基础设施(X.509), 简称PKIX, 工作组将该标准制定成适用于更灵活的互联网组织。而且事实上X.509认证指的是RFC5280里定义的X.509 v3,包括对IETF的PKIX证书和证书吊销列表,通常也称为公钥基础设施(PKI)。
一个标准的X.509数字证书包含以下一些内容:
数字证书的作用是确保信息的保密性,交易者身份,不可否认性,不可修改性。
二、为什么需要数字证书
2.1 明文网络传输会导致严重的数据安全问题
为避免数据被恶意窃取、篡改、冒充,不能直接将明文在网络上传输,加密传输应运而生。
加密方式有对称加密和非对称加密两种方式:
2.2 对称加密需要在网络中传输明文密钥会导致加密形同虚设
2.3 非对称密钥的公钥是公开的,可以在网络中传输,所以互联网一般使用非对称加密
但是这又产生了新的问题,如果通信中有中间人存在,他可以伪造通信。为保证“无中间篡改”,需要证明“我是我”,数字签名可以解决这个问题。
注:由于非对称加密算法效率是对称加密的千分之一甚至是万分之一,所以一般通过非对称加密和对称加密结合的方式加密数据。例如HTTPS,就是利用非对称加密传递对称加密的密钥,然后使用对称加密完成加解密过程,既保证密钥安全,又提高了效率。
2.4 数字签名 - 利用摘要对比实现不可抵赖和数据完整性
算出内容HASH值,然后用私钥加密,这就是数字签名。
客户收到信息后,用公钥解密数字签名得到HASH值,然后算出内容的HASH值,两者相对比,如果两者一致,就证明信息未被修改过。
此时,更复杂的情况出现了,攻击者用自己的公钥换走了用户的公钥。用户实际拥有的是攻击者的公钥,但是还以为这是正确的公钥。因此,攻击者可以冒充服务方,用自己的私钥做成“数字签名”,发送攻击信息给用户,信息安全受到威胁。
所以数字签名不能确保"公钥"的真实性,第三方可偷换"公钥",达到与伪服务器通信的目的,这样催生了数字证书。
2.5 数字证书 - 由权威证书中心CA(Certificate Authority)为公钥认证
数字证书里面包含了服务器的公钥,服务器的域名以及服务器所属的公司信息等内容,并且该信息是用CA的私钥进行加密的。
证书工作流程如下:
注:CA的公钥是存储在本地计算机列表的,如果手动往列表里面导入了不可信的CA公钥,那么CA就可以仿冒,失去了权威性。
三、SSL证书类别
SSL协议(Secure Sockets Layer 安全套接层)是一套网络通信安全协议,具有数据加密、完整性校验及身份验证功能,用于保障网络数据传输的安全性。SSL协议位于应用层和传输层之间,可以为任何基于TCP等可靠连接的应用层协议提供安全性保证,当应用层HTTP协议调用SSL协议时被称为HTTPS加密协议。
SSL协议利用数字证书实现数据加密和身份认证功能,所以SSL证书在设计之初被赋予两个重要使命:一方面是实现HTTPS加密传输,保护数据传输安全;另一方面是进行服务器身份认证,确保网站所有者的身份真实可信。
3.1 90年代OV SSL证书
SSL证书在20世纪90年代问世时只有一种证书类型,就是我们现在所说的“组织机构验证型OV SSL证书”,OV SSL证书通过审查组织机构身份,确保网站所有者身份真实性,并提供SSL/TLS加密保护数据传输安全。
OV证书即组织验证证书,OV SSL,提供加密功能,对申请者做严格的身份审核验证,提供可信身份证明。OV SSL 提供了对个人或者机构的审核,能确认对方的身份。
SSL协议在1996年问世时,只有极少的CA为特定用途或少量使用SSL的网站颁发SSL证书,最早的证书是RSA公司在1994年颁发的,最早的含有有效期的证书是从1998年2月13日开始的。
3.2 2001年DV SSL证书
在SSL证书应用早期,并不是每个网站都愿意花费时间和成本进行身份验证。在2001年,某些CA开始简化身份验证流程,提供只验证域名的DV SSL证书,从而降低价格、使HTTPS加密变得更容易获取,帮助提高网站的安全性。
DV证书即域名验证证书提供最低级别的身份验证,这意味着匿名实体也可以获得证书。DV SSL证书是只验证网站域名所有权的简易型(Class 1级)SSL证书,可10分钟快速颁发,能起到加密传输的作用,但无法向用户证明网站的真实身份。
目前市面上的免费证书都是这个类型的,只是提供了对数据的加密,但是对提供证书的个人和机构的身份不做验证。
3.3 2007年 EV SSL证书
经过简化的DV SSL证书仅起到数据传输加密的作用,却缺失了SSL证书原有的身份验证功能。电子商务、网上银行等需要用户高度信任的网站,无法通过完善的身份信息展示赢得用户信任。
EV证书即扩展验证证书,最安全、最严格EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级 (Class 4级)SSL证书。金融证券、银行、第三方支付、网上商城等,重点强调网站安全、企业可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输。这部分的验证要求最高,申请费用也是最贵的。
2007年EV SSL证书诞生,国际标准组织CA/B Forum制定了EV验证指南,所有颁发EV SSL证书的CA机构必须遵循全球统一的严格身份验证标准,扩展验证网站所有者的身份信息。全球浏览器也统一升级展示UI,对于受EV SSL证书保护的站点,浏览器地址栏显示醒目、独特的视觉效果——绿色地址栏、显示单位名称、HTTPS、绿色安全锁。