什麼是 SSL/TLS 憑證?
SSL/TLS 憑證是一種數位物件,允許系統驗證身分並隨後使用 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 協定,與另一個系統建立加密網路連線。憑證是在稱為公開金鑰基礎設施 (PKI) 的加密系統內使用。如果雙方都信任第三方 (稱為憑證授權單位),PKI 會使用憑證讓其中一方建立另一方的身分。因此,SSL/TLS 憑證可作為數位身份證,用於保護網路通訊安全,以及為網際網路上的網站和私有網路上的資源建立身分。
為什麼 SSL/TLS 憑證很重要?
SSL/TLS 憑證可在網站使用者之間建立信任。企業在 Web 伺服器上安裝 SSL/TLS 憑證,以建立安全 SSL /TLS 網站。SSL/TLS 安全網頁的特徵如下:
- Web 瀏覽器上的掛鎖圖示和綠色地址欄
- 瀏覽器網站地址上的 https 前綴
- 有效的 SSL/TLS 憑證。您可以按一下並展開 URL 地址欄上的掛鎖圖示,來檢查 SSL/TLS 憑證是否有效
- 建立加密連線後,只有用戶端和 Web 伺服器才能看到傳送的資料。
下面列出了 SSL/TLS 憑證的一些優勢。
保護私人資料
瀏覽器驗證任何網站的 SSL/TLS 證書,以啟動和維護與網站服務器的安全連接。SSL/TLS 技術有助於確保您的瀏覽器和網站之間的所有通信都加密。
增強客戶信心
精通互聯網的客戶了解隱私的重要性,並希望信任他們正在訪問的網站。受 SSL /TLS 保護的網站上有綠色掛鎖圖示,客戶認為這是安全的。SSL/TLS 保護可協助客戶瞭解他們的資料在與您的企業共用資料時受到保護。
支援法律合規
有些企業必須遵守資料機密性和保護的業界法規。例如,支付卡行業的企業必須遵守 PCI DSS。PCI DSS 是提供安全線上交易的業界要求,包括使用 SSL/TLS 憑證保護網頁伺服器安全。
改善搜索引擎
主要的搜索引擎已經取得了 SSL/TLS 保護搜索引擎優化的排名因素。與沒有 SSL/TLS 證書的類似網站相比,在搜索引擎上的排名可能會高於 SSL/TLS 證書。這增加了從搜索引擎訪問 SSL/TLS 保護的網站的訪問者。
SSL/TLS 憑證技術的關鍵原則是什麼?
SSL/TLS 代表安全通訊端層和傳輸層安全性。它是一種協定或通訊規則,允許電腦系統在網際網路上安全地相互交談。SSL/TLS 憑證可讓 Web 瀏覽器使用 SSL/TLS 協定來識別和建立網站的加密網路連線。
加密
加密意味著對原始郵件擾碼,因此,只能由預期的收件者解密。例如,透過將字母表中的每個字母向前移動兩個位置,將文字 cat 一詞變更為 ecv。收件者知道規則 (或金鑰),並將每個字母反轉兩個位置以讀取實際文字。SSL/TLS 加密是使用公開金鑰加密技術,在此概念基礎上建置的,使用兩個不同的金鑰來加密和解密訊息。 如果雙方都信任第三方 (稱為憑證授權單位),PKI 會使用憑證讓其中一方建立另一方的身分。憑證認證機構會在通訊開始之前驗證憑證並驗證雙方。
這兩種金鑰為:
公開金鑰
瀏覽器和 Web 伺服器使用公開金鑰和私密金鑰對來對資訊進行編碼和解碼,以進行通訊。公開金鑰是 Web 伺服器在 SSL/TLS 憑證中給予瀏覽器的密碼編譯金鑰。在將訊息傳送至 Web 伺服器之前,瀏覽器使用金鑰對資訊進行加密。
私密金鑰
只有 Web 伺服器具有私密金鑰。由私密金鑰加密的檔案只能透過公開金鑰解密,反之亦然。如果公開金鑰只能解密由私密金鑰加密的檔案,則能夠解密該檔案可確保預期收件者和寄件者所宣稱的身分相符。
身份驗證
伺服器會將 SSL/TLS 憑證中的公開金鑰傳送至瀏覽器。瀏覽器會透過受信任的第三方驗證該憑證。因此,它可以驗證 Web 伺服器所宣稱的身分是否相符。
數位簽章
數位簽章是每個 SSL/TLS 憑證唯一的編號。收件者會產生新的數位簽章,並將其與原始簽章作比較,以確保外部人員在透過網路周遊時不會竄改憑證。
誰來驗證 SSL/TLS 憑證?
憑證認證機構 (CA) 是向 Web 擁有者、Web 託管公司或企業銷售 SSL/TLS 憑證的組織。CA 會在簽發 SSL/TLS 憑證之前,驗證該網域和擁有者的詳細資訊。若要成為 CA,組織必須符合作業系統、瀏覽器或行動裝置公司所設定的特定要求,並申請成為根憑證認證機構。這對於在網際網路使用者之間建立信任非常重要。例如,Amazon Trust Services 是一個憑證認證機構,可以向網站簽發 SSL/TLS 憑證。
SSL/TLS 憑證的有效期為何?
SSL/TLS 憑證的有效期最長為 13 個月。多年來,SSL/TLS 憑證的有效期逐漸減少。這樣做的目的是減少影響企業和 Web 使用者的安全風險。例如,不受信任的第三方可能會使用過期網域的有效 SSL/TLS 憑證,來建立未經授權的網站。
藉由縮短有效期,來減少濫用 SSL/TLS 憑證的機會。SSL/TLS 憑證到期時,Web 訪客會在瀏覽器上收到警示,告知網站不安全。組織將撤銷舊的 SSL/TLS 憑證,並將其取代為更新的憑證。需要在之前的憑證到期之前執行續約程序,以避免發生安全事件。
SSL/TLS 憑證中包含哪些內容?
SSL/TLS 憑證包含下列資訊。
- 網域名稱
- 憑證認證機構
- 憑證認證機構的數位簽章
- 簽發日期
- 到期日期
- 公開金鑰
- SSL/TLS 版本
TLS 代表傳輸層安全性。它是 SSL/TLS 協定 3.0 版的後繼者和延續。SSL/TLS 和 TLS 之間只有輕微的技術差異。與 SSL/TLS 一樣,TLS 在瀏覽器和 Web 伺服器之間提供加密的資料傳輸管道。現代 SSL/TLS 憑證使用 TLS 協定,而不是 SSL/TLS,但 SSL/TLS 仍是安全專家中常用的首字母縮寫。雖然不完全相同,但 SSL 和 TLS 術語通常用於表示同樣的事情。他們也可能將密碼編譯加密協定稱為 SSL/TLS。
SSL/TLS 憑證如何運作?
瀏覽器使用 SSL/TLS 憑證,透過 SSL/TLS 握手啟動與 Web 伺服器的安全連線。SSL/TLS 握手是超文字傳輸協定安全 (HTTPS) 通訊技術的一部分。它是 HTTP 和 SSL/TLS 的組合。HTTP 是 Web 瀏覽器用於將純文字資訊傳送至 Web 伺服器的協定。HTTP 傳輸未加密的資料,這意味著從瀏覽器傳送的資訊可以被第三方截獲和讀取。瀏覽器使用 HTTP 與 SSL/TLS 或 HTTPS 進行完全安全的通訊。
安全傳輸技術握手
SSL/TLS 握手包含下列步驟:
- 瀏覽器打開一個 SSL/TLS 安全的網站並連接到 Web 服務器。
- 瀏覽器嘗試通過請求可識別信息來驗證 Web 服務器的真實性。
- Web 服務器發送包含公鑰的 SSL/TLS 證書作為回复。
- 瀏覽器會驗證 SSL/TLS 憑證,確保其有效且符合網站網域。一旦瀏覽器滿意 SSL/TLS 憑證,就會使用公開金鑰加密和傳送包含秘密工作階段金鑰的訊息。
- Web 服務器使用其私鑰來解密消息並檢索會話密鑰。然後,它會使用工作階段金鑰加密,並將確認訊息傳送至瀏覽器。
- 現在,瀏覽器和 Web 服務器都切換到使用相同的會話密鑰來安全地交換消息。
工作階段金鑰
在完成初始 SSL/TLS 驗證之後,工作階段金鑰會維持瀏覽器與 Web 伺服器之間的加密通訊。工作階段金鑰是對稱式密碼編譯的密碼金鑰。對稱密碼編譯使用相同的密鑰進行加密和解密。非對稱密碼學佔用了巨大的計算能力。因此,Web 服務器切換到對稱加密,需要較少的計算來維護 SSL/TLS 連接。
什麼是 AWS Certificate Manager?
AWS Certificate Manager (ACM) 是一種服務,可讓您輕鬆佈建、管理和部署能與 AWS 服務和您的內部連線資源搭配使用的公有與私有 SSL/TLS 憑證。它免除了耗時的手動購買、上傳和續約 SSL/TLS 憑證的手動程序。而您可以快速請求憑證、將憑證部署於 ACM 整合式 AWS 資源 (如 Elastic Load Balancing、Amazon CloudFront 分發或 Amazon API Gateway 上的 API),以及讓 AWS Certificate Manager 處理憑證續約。它也可讓您建立內部資源的私有憑證,以及集中管理憑證生命週期。
組織使用 ACM 來簡化應用程式部署,以及 SSL/TLS 憑證的續約。您只需點按幾下,即可建立 ACM 受管 SSL/TLS 憑證,而不是產生憑證簽署請求 (CSR),並將其提交至憑證認證機構的傳統程序。
立即註冊 AWS 帳戶,以開始使用 AWS Certificate Manager。
SSL/TLS 憑證有哪些類型?
SSL/TLS 憑證因驗證和網域而有所差異。具有不同驗證層級的憑證分類如下:
- 延伸驗證憑證
- 組織驗證憑證
- 網域驗證憑證
支援不同網域類型的 SSL/TLS 憑證包括:
- 單一網域憑證
- 萬用字元憑證
- 多重網域憑證
延伸驗證憑證
延伸驗證憑證 (EV SSL/TLS) 是具有最高層級加密、驗證和信任的數位憑證。申請 EV SSL/TLS 時,組織或 Web 擁有者必須接受憑證認證機構的嚴格檢查。這包括驗證實體公司地址、適當的憑證申請,以及使用網域的專屬權利。
企業使用 EV SSL/TLS 來保護使用者,使其免受未經授權第三方的侵害。當公司處理網站上的敏感資料 (例如財務交易和醫療記錄) 時,這一點很重要。EV SSL/TLS 憑證包含企業組織的詳細資訊,可在瀏覽器上檢視。
組織驗證憑證
就驗證和信任而言,組織驗證憑證 (OV SSL/TLS) 次於 EV SSL/TLS。與 EV SSL/TLS 一樣,公司在申請 OV SSL/TLS 時必須經過驗證程序。雖然審核程序不太嚴格,但申請人必須向憑證認證機構證明網域名稱擁有權。
OV SSL/TLS 憑證包含經驗證的企業資訊,可在瀏覽器上進行檢查。前端和商業企業使用 OV SSL/TLS 憑證,在客戶之間建立信任。OV SSL/TLS 提供強大的加密功能,可在瀏覽 Web 時保護客戶的隱私。
網域驗證憑證
網域驗證憑證 (DV SSL/TLS) 是最低限度驗證的數位憑證。他們的申請成本也最低。與 EV SLL 和 OV SSL/TLS 不同,DV 憑證申請人經過不太嚴格的審核程序。申請人透過回應驗證電子郵件或電話,來證明網域名稱擁有權。
DV 憑證不含申請人組織或企業的完整資訊。因此,它不為使用者提供高度保證。DV 憑證適用於資訊性網站,例如部落格。它們不適合支付閘道、醫療保健企業,或處理敏感資料的其他網站。
單一網域 SSL/TLS 憑證
單一網域 SSL/TLS 憑證是只保護一個網域或子網域的 SSL/TLS 憑證。網域是網站的主要 URL 或地址,例如 Amazon.com。子網域是帶有文字副檔名的網址,例如 aws.amazon.com。
例如,您可以在 http://example.com 上,使用單一網域的 SSL/TLS 憑證。但是,您無法同時將憑證用於 http://example.com 和 sub.example.com。
萬用字元 SSL/TLS 憑證
萬用字元 SSL/TLS 憑證是一種 SSL/TLS 憑證,可保護網域及其所有子網域。例如,您可以使用萬用字元 SSL/TLS 憑證,來保護 http://example.com、blog.example.com 和 shop.example.com。
多重網域 SSL/TLS 憑證
多重網域憑證也稱為整合式通訊憑證。多重網域 SSL/TLS 憑證可為託管在相同或不同伺服器上,具有相同擁有權的多個網域名稱提供 SSL/TLS 保護。例如,您購買了 http://example1.com、domain2.co.uk、shop.business3.com 和 chat.message.au 的多重網域憑證。