请稍候...
  • 通配符证书Wildcard SSL,部署全网HTTPS必备
  • 为什么使用企业型SSL证书?
  • 增强型证书EV SSL,完美支持地址栏显示中文企业名称
  • HTTPS今天你用了吗?
  • 多域名SANS/UCC SSL证书,全面支持Exchange Server 2..
  • 选择SSL证书产品遇到问题?

如何正确选择服务器证书?

点击数:53402010-05-08 16:20:27 来源: 中国数字证书

互联网启蒙于美国军方的内部网络,由于其是一个专网,初期网络规模小,处理能力低,设计的TCP/IP协议的核心是信息传递,很少涉及信息安全,因此,应用层协议http、smtp、ftp均是明文数据,未采用加密措施。
随者互联网的普及,互联网应用层出不穷,同时,由于互联网的爆炸性增长,接入互联网的节点泥沙俱下,带来各种各样的互联网威胁,如何辨别一个网站的身份,如何安全的传递机密或隐私信息,成为至关重要的问题。
SSL(安全套结字层)协议,提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是服务器证书的申请与配置。
服务器证书申请前的服务器证书的选择不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。本文将从各个层面对服务器证书的选择进行讨论。

一、 技术层面:

1、 加密位数越高越好吗?
目前市场上的服务器证书中,对于加密位数有个加密位数越高越好的误区,SSL协议涉及到的加密的环节,有两个加密位数,一是证书公钥位数,分为1024位、2048位,主流的是2048位。一是会话秘钥(对称密钥)位数,分为40位,128位,256位,主流的是128位。公钥算法主要是用来加密会话秘钥,会话秘钥是SSL会话建立之后对会话内容进行加密,会话秘钥的长度和浏览器支持的密钥长度相关,微软的IE系列浏览器,有40位和128位两种,Verisign服务器证书采用SGC技术,可以实现40位IE浏览器的128位强制加密,其他处于从属地位的浏览器,例如firefox,可以支持 256位会话秘钥。主流的密钥长度在目前的技术水准下,破解的难度相当高,暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的,且有效期较短,基本不存在被暴力破解的可能性。
加密过程需要消耗服务器资源,在密钥长度增加的同时,会带来更大的性能负载,在主流密钥长度可以提供足够安全的保障前提之下,更长的密钥长度只能带来无效的负载增加。
2、 证书链的层级越少越好吗?
目前市场上的服务器证书中,对于证书链的长短也有不少争议,有Verisign证书链在美国为二级,在中国为三级,三级证书链验证过程时间长的说法。其实,证书链的长短有多方面的原因,涉及到不同的安全级别、证书颁发策略,不能一概而论。证书链越长当然验证的时间也越长,不过在不超过四级的长度下,性能接近相同。比如,目前的Verisign EV证书,就存在两条证书链,一条是三级,适用于IE7等新版本浏览器,一条是四级,适用于windows 2003下的IE6等稍旧版本浏览器。
由根CA直接签发证书的二级结构,需要根证书在签发证书时在线,如果,业务处于饱和状态就要求根证书一直在线,不符合一般CA安全的密钥安全管理原则,也极大的增加了根密钥的安全风险。因此,此类的证书已经不是主流的证书类型。

二、 管理层面,是否内置根?

根内置,是一个证书领域的专门术语,指CA机构通过相关国际机构审查后,与浏览器生产商协调后,发布在浏览器内。浏览器厂商为CA机构根证书的真实性负责。

1、 自己签发的证书与根内置的第三方机构颁发的证书有什么不同?存在什么风险?

国内有些网站采用自签名的服务器证书提供公众服务,却并不了解其中蕴藏着极大的安全风险。服务器证书的两个关键功能,除了广为所知的加密通道外,网站身份识别的作用在钓鱼网站泛滥时尤为重要。CA机构需要极其严格的审核过程,才能把根植入浏览器内。通过根内置的证书才能在对用户透明的前提下完成对服务其身份的认证。
自签名的证书由于需要客户端下载根证书才能完成服务器证书的验证过程,而把对根证书真伪的判断强加给对此毫不知情的用户,显然存在极大的风险。因为,钓鱼网站可以伪造自签名的服务器证书欺骗用户。

2、 根内置与非根内置的第三方机购颁发的证书有什么不同?存在什么风险?

由于实施了《电子签名法》,国内机构在颁发合法的客户端证书的同时,开展服务器证书业务,如果该类服务器证书用于内部应用,可以实现相应的安全应用,但对于互联网应用服务,却存在极大的安全风险和隐患。
从本质来讲,非根内置的服务器证书和自签名证书有同样的风险,钓鱼网站在伪造服务器证书的同时可以伪造第三方机构的根证书。而由于这种伪造造成的损失,服务提供商和第三方机构间的责任划分存在明显的隐患。

三、管理方面

即使把服务器证书选择限定在根内置证书的范围内仍存在太多的选择。


1、 品牌是重要的吗?
服务器证书本身也具有品牌性的,要考虑提供互联网服务的品牌是否与服务器品牌相适应,例如,从Verisign来说,Verisign本身也提供三种品牌的服务,Verisign的高端产品,以及服务于非洲、或国际市场的中低品牌thawtegeotrust。而从Verisign的品牌来说占据世界500强的94%,可见,服务器证书品牌是和互联网业务相辅相成的。采用高端的服务器证书品牌对提高服务的互联网应用的品牌价值具有重要的意义。

2、 品牌的服务质量如何?
服务器证书之所以具有品牌性,和其提供的服务价值密不可分,服务质量可以分为三个方面
服务的可延续性,服务器证书作为持续服务的产品,其延续性和互联网应用的可持续性密切相关,而作为商业机构的服务器证书颁发机构,处于底层的第三方机构由于自身业务能力,公司实力却存在破产或者停业的风险。从而,影响所提供的互联网应用服务自身的品牌价值。
服务的严谨性,服务器证书要证明所代表互联网服务的网站身份,因此需要严格的鉴证审批流程,而严谨的鉴证流程是保障互联网服务提供商和最终用户权益的必要条件。因此,所谓的快速发证和无鉴证流程在提供便利性的同时,是以牺牲客户利益和带来风险为前提的。
服务的本地化,目前服务器证书一般均是国外机构在中国的战略合作伙伴或代理颁发,战略合作伙伴一般可以提供良好的本地化服务,而代理商鱼龙混杂,需要通过对公司实力、服务时间等仔细甄别,判断是否能提供适当的本地化服务。

3、 证书的价值如何体现?
证书的价值在于服务器证书品牌带来的良性促进,以及合法的本地利益保障,由于国内外企业制度,企业身份的认证过程不同,因此,需要符合本地法律的鉴证流程保障合法利益。本地鉴证是根据国情制定的鉴证策略,互联网服务上合法利益受到损害时可以得到中国法律支持的利益保障。因此,能提供本地见证服务,也是服务器证书选择中关键的一环。
本文讨论了服务器证书选择时需要关注的环节,以及一些选择的风险和安全隐患。当然,技术在不断进步,管理和服务模式不断更新,需要根据实际情况和背景调整思路,以便做出有利于互联网服务发展的更好选择。

上一页1下一页

上一篇:什么是DES?