CHINASSL教您如何选择SSL证书?

什么是SSL?

SSL 是英文“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。

为啥要发明 SSL 这个协议呢?因为互联网上使用的 http 协议是明文的,存在很多缺点——比如传输内容会被偷窥(嗅探)和篡改。发明 SSL 协议,就是为了解决这些问题。

到了1999年,SSL 因为应用广泛,已经成为互联网上的事实标准。IETF 就在那年把 SSL 标准化。标准化之后的名称改为 TLS(是“Transport Layer Security”的缩写),中文叫做“传输层安全协议”。

SSL有哪些种类?

域名型证书DV SSL:信任等级一般,只需验证域名的真实性便可颁发证书保护网站,签发证书速度最快,一般申请通过验证后几分钟即可获取到证书。

企业型证书OV SSL:信任等级强,须要验证企业的身份,审核严格,安全性更高。

增强型证书EV SSL:信任等级最高,一般用于银行证券等金融机构、大中型企业等,审核严格,安全性最高,可以激活绿色网址栏并同时显示网站所属企业/组织名称。

通配符证书Wildcard SSL:通配符证书英文全称为Wildcard SSL Certificates。通配符 SSL证书可以同时保护一个域名下的所有的下一级子域名网站,比如*.yourdomain.com,对子域名网站保护是没有数量限制,用户可以随时添加自己的子域名网站使用SSL而不需要额外购买证书。

多域名证书SAN SSL:SAN证书英文全称 – Subject Alternative Name certificates 又称为 UCC 证书– Unified Communication Certificates. SANs SSL证书允许您在同一张证书中,添加多个需要保护的”顶级域名”或”任意域名”。这种功能为客户提供了非常大的使用弹性,多个域名集中到一张证书,部署管理更高效便捷。

选择适用的SSL证书产品?

通过上面的SSL产品说明与SSL种类介绍,相信您大致已经有了选择SSL产品的方向,目前在国内SSL产品领域最为权威的企业,中国数字证书CHINASSL推出了GeoTrust证书、Symantec SSL证书以及comodo证书,它们通过在客户端浏览器和Web服务器之间建立一条SSL安全通道,安全协议对传送的数据进行加密,保证用户和服务器间信息交换的保密性、一致性,具有企业身份识别,防止非法窃取用户信息等。

据悉,中国数字证书CHINASSL(https://www.chinassl.net)属于天津亚狐信息科技有限公司旗下网站,拥有8年以上的SSL证书服务经验,能为各大企业提供高效的数字证书签发服务,专业的售后技术支持,安全的在线证书管理系统,提供给用户极致的安全保障。作为国内一线网络安全服务商,更是与中国移动、中国联通、携程爱玩户外等各行业巨头合作。

媒体报道

http://www.shbear.com//2/lib/201508/12/20150812065.htm

http://info.it.hc360.com/2015/08/121045823974.shtml

多域名证书SAN/UCC SSL证书有那些种类?

现在常用的SAN证书类型有2种:

1. 多个单域名SAN,单域名可以是顶级域名,也可以是随便几级域名都是可以的。

2. 多个通配符证书的SAN,这种证书就是一张证书包含多个通配符证书。一般一张通配符证书只能适用于所申请域名的下一级子域名及其本身,如果你想3级域名,4级域名,N级域名,或不同顶级域名的2级域名使用同一张SSL证书,哪就需要用到多域名型通配符证书,这种证书市面不多见,我给它命名叫SAN Wildcard SSL

COMODO领衔全球SSL证书市场份额

在全球范围内,可以看到Comodo 目前占有最大的市场份额(25.2%),其次为GeoTrust(18.4%),紧接着为OpenSSL(14.5%)。而从市场的分布来看,虽然comodo占据着最大的市场份额,但整个市场仍然具有多元化的。

SSL证书,COMODO,通配符证书,https认证

Alexa Top 1M网站中SSL的市场份额

数据来源:Datanyze

我们搜集了从2014年一月到2015年4月之间comodoGeoTrust,OpenSSL以及Godaddy这四家公司的一年内的客户增量变化得到如下图:

SSL证书,COMODO,通配符证书,https认证

2014-2015年COMODOGeoTrust、OpenSSL以及Godaddy四家公司的用户增量曲线图

数据来源:Datanyze

 

Comodo 的客户增加量除了2014年的1月和6月为负值以外,即用户减少,全都为正值,即用户数持续的增加,并且2015年的开初有了一个巨大的增加。高达 574,101。总体看起来COMODO 2015年的客户增加量都超过了2014年。OpenSSL在2014年从1月起到6月间持续流失顾客,到到了2014的后半年后形势就发生了逆转,用户 持续的增加,也在2015年的1月达到了一个最大值。相比前两家的大起大落GeoTrust和Godaddy的用户增量就相对更加稳定。

 

SSL证书,COMODO,通配符证书,https认证

2015年3月 中国数字证书SSL市场份额

数据来源:Datanyze

相较于国际市场,中国数字证书的SSL证书市场的份额还是有所区别,中国市场上OpenSSL与Comodo并列第一位,其次为GeoTrust,Godaddy则在第五位。

然而,整个SSL证书市场可以预计增长远远超出目前使用有效的SSL证书的网站的20%。这不仅是因为加密成为不断增长的SaaS市场必不可少的,但也因为谷歌开始在他们的排名有利于HTTPS加密的网站,只要谷歌表示,网站管理员都会听。

nginx 同一个IP上为多个域名配置安装SSL证书

最近公司域名更变,同时,又要新旧域名同时运行。 那么,对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?遂,查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

server { listen 443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.abc.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

server { listen 192.168.1.1:443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 192.168.1.2:443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

那么,在同一个IP上,如何配置多个HTTPS主机呢?

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

启用方法:

需要重新编译nginx并启用TLS。步骤如下:

# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz # tar zxvf openssl-1.0.1e.tar.gz # ./configure --prefix=/usr/local/nginx --with-http_ssl_module \ --with-openssl=./openssl-1.0.1e \ --with-openssl-opt="enable-tlsext" # make # make install

查看是否启用:

# /usr/local/nginx/sbin/nginx -V TLS SNI support enabled

这样就可以在 同一个IP上配置多个HTTPS主机了。

实例如下:

server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... } server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... }

这样访问每个虚拟主机都正常。

原文链接: http://www.ttlsa.com/html/4288.html