SSL為網(wǎng)站安全保駕護(hù)航

現(xiàn)在更多的人上網(wǎng)購物、發(fā)送郵件、管理銀行賬戶及處理其他事務(wù)，這似乎很顯然；但如果你停下來想一想到底有多少人在用互聯(lián)網(wǎng)，數(shù)量相當(dāng)龐大。以美國為例，僅僅15年前，網(wǎng)民只占15%；而現(xiàn)在，比例幾乎高達(dá)80%。放眼全球，數(shù)字還要驚人：10年前，全球約3.5億人在用互聯(lián)網(wǎng)；10年后，這個數(shù)字飆幾乎升到了20億人。

由于互聯(lián)網(wǎng)的使用日益廣泛，它在騙子、身份竊賊及其他網(wǎng)絡(luò)犯罪分子當(dāng)中也更受歡迎。網(wǎng)民們面臨多種多樣的威脅；據(jù)估計，光在美國每年淪為“網(wǎng)絡(luò)釣魚”受害者的人就超過350萬——網(wǎng)絡(luò)釣魚是一種在網(wǎng)上盜竊身份的攻擊。

考慮到許多人親身遇到過或者從親朋好友或新聞上聽到過網(wǎng)絡(luò)釣魚及其他網(wǎng)上騙局，許多網(wǎng)民不放心在網(wǎng)上透露自己的真實(shí)姓名或其他個人資料。實(shí)際上，最近研究表明，美國超過62%的網(wǎng)民擔(dān)心網(wǎng)上安全。要是有人連透露姓名都覺得不放心，那么使用信用卡在網(wǎng)上購物更不可能了。如果沒有一定的安全級別，網(wǎng)民根本不會共享信息，更不用說與網(wǎng)站做交易了。

幸好還有SSL，這種標(biāo)準(zhǔn)的解決方案用來在網(wǎng)上保護(hù)敏感信息。本文將介紹SSL的功能、工作原理以及它如何有助于在網(wǎng)上建立可信度。

SSL：Web安全的基礎(chǔ)

安全套接層（SSL）安全技術(shù)早在1995年開發(fā)出來，現(xiàn)在是用來確保網(wǎng)站安全的一項(xiàng)普遍技術(shù)。雖然SSL聽起來很復(fù)雜，但實(shí)際上是一種簡單的技術(shù)，有助于確保建立信任。實(shí)際上，很難想象要是沒有SSL提供的普遍安全，公共互聯(lián)網(wǎng)會怎么樣。

SSL證書中針對特定網(wǎng)站的那部分元素本身實(shí)際上是網(wǎng)站所有者安裝到網(wǎng)站上的一小段代碼。安裝后，SSL證書使用一整套安全檢查機(jī)制，檢查服務(wù)器、瀏覽器和證書提供方維護(hù)的數(shù)據(jù)中心，確保域和服務(wù)器是可信賴的。建立信任后，證書對通過互聯(lián)網(wǎng)發(fā)送的信息進(jìn)行加密，那樣網(wǎng)絡(luò)犯罪分子就無法截獲或破譯加密信息。實(shí)際上，SSL安全在防范狡猾的網(wǎng)絡(luò)犯罪攻擊（如“中間人攻擊”）方面卓有成效；在這種攻擊中，黑客可能偷偷竊聽敏感的通信內(nèi)容，包括網(wǎng)上信用卡交易。

SSL驗(yàn)證

SSL證書由可信賴、獨(dú)立的第三方機(jī)構(gòu)頒發(fā)后，還可以用來驗(yàn)證網(wǎng)站，這個過程涉及證明網(wǎng)站所有者的身份真實(shí)無誤。為了讓自己的網(wǎng)站通過驗(yàn)證，網(wǎng)站所有者必須求助于提供SSL證書的獨(dú)立提供方，名為證書管理機(jī)構(gòu)（CA）。網(wǎng)站使用授權(quán)CA提供的SSL證書時，該CA就要花時間調(diào)查該網(wǎng)站，證實(shí)其真實(shí)性，這個步驟提供了一定的保障，確保該網(wǎng)站是合法的。CA通常會要求網(wǎng)站所有者出示商業(yè)登記文件及其他類型的證明，核實(shí)網(wǎng)站所有者的場地和身份。

盡管可以自簽名SSL證書（也就是說個人可以創(chuàng)建證書，然后聲稱自己合法），但是由可信賴第三方簽名的證書更安全，管理起來要容易得多。如果網(wǎng)站通過了獨(dú)立CA的驗(yàn)證，每個人都確信：該網(wǎng)站真實(shí)有效。一些服務(wù)器會隨帶自簽名SSL證書，但隨帶這種自簽名證書主要是為了用于測試環(huán)境。微軟等廠商強(qiáng)烈建議：服務(wù)器面向公眾部署后，應(yīng)將這種自簽名證書換成第三方驗(yàn)證的SSL證書。使用自簽名證書的網(wǎng)站和服務(wù)器可能會引起一些瀏覽器向最終用戶顯示警示信息，表明連接可能不可信。

SSL安全技術(shù)已變得極其廣泛和可信，它與所有主要的Web服務(wù)器和Web瀏覽器兼容，它可用于保護(hù)一系列廣泛的網(wǎng)上通信，而不是僅僅保護(hù)網(wǎng)站。SSL證書可以用來保護(hù)電子郵件、即時通訊、IP語音（VoIP）通話——在兩臺服務(wù)器之間通過網(wǎng)絡(luò)連接傳送的幾乎任何信息都可能使用SSL安全技術(shù)。

SSL加密的工作原理

由SSL證書保護(hù)的網(wǎng)站先對信息進(jìn)行加密，然后才通過服務(wù)器與瀏覽器之間的網(wǎng)絡(luò)來發(fā)送。

為此，SSL證書有兩個密碼，名為“密鑰”：私有密鑰，這是托管運(yùn)行網(wǎng)站的那臺服務(wù)器特有的；公開密鑰，任何請求公開密鑰的Web瀏覽器都能獲得。由私有密鑰加密的數(shù)據(jù)只能由公開密鑰來解密，反之亦然——由公開密鑰加密的數(shù)據(jù)只能由私有密鑰來解密。

SSL提供的安全級別取決于幾個因素，包括網(wǎng)站所用證書的類型、用戶所用Web瀏覽器的類型以及主機(jī)服務(wù)器的功能。這就是為什么SSL證書提供一系列加密級別，最常見的高達(dá)256位。

為了讓你大致了解SSL加密功能到底有多強(qiáng)大，不妨考慮：128位加密所能運(yùn)算的組合多達(dá)40位加密的288。前者比后者強(qiáng)大1萬億乘1萬億倍。實(shí)際上，按目前的計算速度，黑客要花1萬億年才能破解由128位SSL證書保護(hù)的會話；想破解由256位加密保護(hù)的會話，需要更長的時間。

用戶感受的體驗(yàn)

你不需要IT方面的背景知識或HTML編程知識，就能知道某網(wǎng)站受SSL的保護(hù)。實(shí)際上，Web瀏覽器提供了幾個視覺線索，幫你看看SSL何時在起作用。比如說，使用SSL的網(wǎng)站其網(wǎng)址會以https://開頭，而未由SSL保護(hù)的連接以http://開頭。

當(dāng)你訪問使用SSL證書的網(wǎng)站時，大多數(shù)Web瀏覽器（包括Internet Explorer、火狐和Safari）還會顯示小小的掛鎖圖標(biāo)。這個圖標(biāo)的位置和外觀可能不一樣，這要你使用哪一種瀏覽器，所以得仔細(xì)看才能找到它。

Safari中的掛鎖圖標(biāo)示例

火狐中的掛鎖圖標(biāo)示例

Internet Explorer中的掛鎖圖標(biāo)示例

你點(diǎn)擊掛鎖后，許多瀏覽器會顯示關(guān)于證書的信息，包括哪家CA頒發(fā)證書，哪家公司擁有證書。如果你點(diǎn)擊查看額外的詳細(xì)信息，會看到證書的有效期、認(rèn)證指紋以及其他技術(shù)信息。

SSL是網(wǎng)上建立信任的基石

如果你擁有或運(yùn)行網(wǎng)站——特別是訪客進(jìn)行網(wǎng)上交易（如使用信用卡購物）的那種網(wǎng)站，那么你的訪客要確信：你的網(wǎng)站是安全的。為什么這很重要？因?yàn)槿绻腥嗽L問你的網(wǎng)站，其信用卡信息被網(wǎng)絡(luò)犯罪分子盜竊了，那么他們恐怕再也不會光顧你的網(wǎng)站。他們還可能在各種社交網(wǎng)絡(luò)網(wǎng)站上發(fā)帖講述糟糕經(jīng)歷，或者對你的網(wǎng)站給予差評。即使你與他們的損失毫無關(guān)系，這種經(jīng)歷也會危及你與顧客建立起來的關(guān)系，或者嚇跑潛在的新顧客。

使用SSL安全技術(shù)是建立可信度的最快速、最容易、最經(jīng)濟(jì)高效的方法之一，有助于確保顧客的安全，并確保貴公司的成功。數(shù)據(jù)經(jīng)加密后在互聯(lián)網(wǎng)上傳送時，竊賊盜竊不了數(shù)據(jù)；就算弄到手，也無法解密；所以你顧客的敏感信息仍受到保護(hù)，他們會信任貴公司。簡而言之，如果你保護(hù)訪客，也就保護(hù)了自己在網(wǎng)上的聲譽(yù)。

選擇合適SSL提供商的重要性

許多人在訪問網(wǎng)站時曉得要找網(wǎng)上安全公司的標(biāo)識（又叫信任標(biāo)記），這表明該網(wǎng)站可以安全使用。最近研究表明，86%的網(wǎng)購者會查看信任標(biāo)記，在使用信任標(biāo)記的網(wǎng)站上會比較放心地透露個人信息。有鑒于此，為自己的網(wǎng)站選擇一家SSL提供商也許是你做出的最重要的商業(yè)決策之一。

許多公司銷售SSL證書，但只有少數(shù)幾家在全球建立起了可信賴的聲譽(yù)。你在購買SSL證書之前，應(yīng)該先作一番調(diào)查，查明這家公司是不是知名、可信賴的SSL提供商。如果與一家主攻SSL安全的提供商合作，并把貴公司與對方品牌聯(lián)系起來，有助于增強(qiáng)你網(wǎng)站的聲譽(yù)和可信度。

如果選擇一家不可靠的SSL提供商，后果可能很嚴(yán)重。比如說，2009年4月4日，對使用火狐訪問某些網(wǎng)站的用戶來說，GlobalSign提供的擴(kuò)展驗(yàn)證SSL證書開始出問題，原因是GlobalSign出現(xiàn)了技術(shù)問題。這就是選擇與一家信譽(yù)卓著的、維護(hù)高度可靠的基礎(chǔ)設(shè)施的SSL提供商進(jìn)行合作為何至關(guān)重要。

將安全提高一個級別：EV SSL

基本SSL安全技術(shù)對網(wǎng)店及其他交易型網(wǎng)站來說不可或缺，但是你可以使用高級SSL技術(shù)，它提供了更強(qiáng)大的加密功能和更嚴(yán)格的商業(yè)驗(yàn)證過程。這種SSL名為擴(kuò)展驗(yàn)證（EV）SSL，它還可以用來為訪客提供不會弄錯的標(biāo)記——Web瀏覽器中的綠色地址欄，表明你的網(wǎng)站受保護(hù)，這有助于讓訪客更信任你的網(wǎng)站。

為什么要開發(fā)EV SSL？它是如何工作的？

為了滿足顧客對低成本SSL的需求，許多提供商開始提供加密和驗(yàn)證級別與成本較高的證書不一樣的證書。為了消除混亂，并且讓用戶更容易識別使用最強(qiáng)SSL的網(wǎng)站，證書管理機(jī)構(gòu)/瀏覽器論壇（CA/Browser Forum）這家獨(dú)立行業(yè)組織為擴(kuò)展驗(yàn)證（EV）證書制定了一套準(zhǔn)則。

EV SSL證書使用與其他SSL證書同樣的公開密鑰/私有密鑰加密方法來保護(hù)數(shù)據(jù)傳輸。不過，網(wǎng)站的身份驗(yàn)證更強(qiáng)了。網(wǎng)站使用EV SSL時，相應(yīng)公司必須接受更全面的驗(yàn)證過程，以核實(shí)公司的身份。若使用EV SSL，最新Web瀏覽器中的地址欄會變綠，這個明顯的標(biāo)記向網(wǎng)站訪客表明該網(wǎng)站很安全。

為什么EV SSL很重要？

研究表明，如果訪客看到綠色地址欄，他們更可能與你的網(wǎng)站進(jìn)行交互，無論這種交互指購物、注冊你的業(yè)務(wù)簡報，還是注冊申請你的服務(wù)。實(shí)際上，Tec-Ed公司開展的獨(dú)立調(diào)查發(fā)現(xiàn)，97%的調(diào)查對象表示，他們在顯示綠色EV SSL地址欄的網(wǎng)站上會更放心地共享個人信息和財務(wù)信息。

如果你在尋找萬全之計，提供最高的加密級別和明確表明你網(wǎng)站可信賴的標(biāo)記，EV SSL無疑是理想選擇。

為你的網(wǎng)站安裝SSL

如果你準(zhǔn)備為你的網(wǎng)站采用SSL安全技術(shù)，采取的第一步是選擇提供商。市面上有許多SSL公司可供挑選，但牢記一點(diǎn)：選擇一家遵守嚴(yán)格安全準(zhǔn)則的可信賴第三方SSL證書提供商總是最好。

你與可信賴第三方SSL提供商合作時，對方會要求核實(shí)你的公司身份，之后才會頒發(fā)證書。不同提供商的要求可能不一樣，但許多SSL提供商要求查看公司章程、許可證及其他商業(yè)文件。比如說，有的提供商要求公司填寫證書申請表，會查看和核實(shí)注冊文件的副本，來核實(shí)貴公司已向當(dāng)?shù)刂鞴懿块T登記。還會聯(lián)系域名注冊服務(wù)機(jī)構(gòu)，核實(shí)公司有權(quán)使用申請表中填寫的域名。為了替顧客簡化這個過程，有的提供商會通過查閱公共數(shù)據(jù)庫來進(jìn)行這種核查。如果無法通過公共來源核實(shí)公司信息，只好要求顧客直接提供相關(guān)文件。

購買過程中，你還需要從你的Web服務(wù)器向CA發(fā)出證書簽名請求（CSR）。CSR是一小段代碼，其作用是開始請求新的SSL證書，并提供讓CA能夠頒發(fā)與該服務(wù)器匹配的證書的必要信息。生成證書簽名請求的過程非常簡單，可以從證書提供商或服務(wù)器廠商獲得簡易的操作說明。

CA頒發(fā)證書慢則數(shù)天，快則數(shù)分鐘，這要看你購買了哪種類型的SSL證書。提供更強(qiáng)安全和驗(yàn)證的證書通常所需的時間比較長，但完全值得等待。比如說，EV SSL證書頒發(fā)所需的時間更長，但它提供了最佳安全和最大保障，那樣你的顧客可以放心地使用你網(wǎng)站。EV證書還提供了最大的商業(yè)效益，因?yàn)樗鼛淼姆e極影響有助于把更多的準(zhǔn)顧客轉(zhuǎn)化成達(dá)成交易的實(shí)際顧客。

一旦你收到證書，之后需要把它安裝到你的Web服務(wù)器上。雖然聽起來難度很大，但安裝SSL證書其實(shí)是個簡單的過程，一些CA提供了幫你安裝的操作說明。在不同服務(wù)器上安裝SSL證書的過程各不相同，所以如果有任何問題，務(wù)必要聯(lián)系CA。

一些CA還提供簽章（seal）或其他信任標(biāo)記，你可以向訪客顯示，表明你網(wǎng)站受SSL安全的保護(hù)。要安裝簽章，必須拷貝來自CA的代碼片段，粘貼到你網(wǎng)站的源代碼中。務(wù)必要在你網(wǎng)站的顯眼位置顯示簽章，包括主頁以及——如果你有電子商務(wù)網(wǎng)站——任何產(chǎn)品頁面或購物車頁面。訪客在你網(wǎng)站上看到SSL信任標(biāo)記后，他們逗留的時間會更長，更有可能注冊電子郵件列表或業(yè)務(wù)簡報，并且購物。網(wǎng)站專家們經(jīng)常建議，你應(yīng)該在主頁上的明顯位置顯示信任簽章。許多網(wǎng)站干脆在每個頁面上顯示信任簽章，就為了確保可以不斷提醒他們的顧客：安全至關(guān)重要。

結(jié)論：使用SSL證書的經(jīng)濟(jì)效益

你在網(wǎng)站上使用SSL證書，傳達(dá)了一個明確的訊息：你關(guān)注訪客的安全；你的網(wǎng)站值得信賴。不過，不是所有SSL證書都一樣。你開始物色SSL提供商時，務(wù)必要選擇一家以提供可靠安全而知名的可信賴公司。選擇SSL證書時，可以考慮選擇EV SSL。來自可信賴提供商的EV SSL證書將幫助你網(wǎng)站建立信任，并且保護(hù)網(wǎng)上聲譽(yù)。不僅如此，EV SSL還會鼓勵人們在你網(wǎng)站上逗留的時間更長，幫助你增加銷售額和轉(zhuǎn)化率，最終讓你的網(wǎng)站取得成功。

不是所有SSL都一樣

應(yīng)從一家知名、可靠、安全的獨(dú)立證書管理機(jī)構(gòu)選擇你的SSL。它應(yīng)該至少提供128位加密，最好是256位加密。應(yīng)該從全球可用的根基礎(chǔ)設(shè)施來頒發(fā)證書，使用2048位RSA密鑰或更安全的密鑰。SSL頒發(fā)機(jī)構(gòu)應(yīng)該維護(hù)穩(wěn)若磐石的數(shù)據(jù)中心和災(zāi)難恢復(fù)站點(diǎn)，而且它們針對數(shù)據(jù)保護(hù)和可用性作了優(yōu)化。你的SSL證書管理機(jī)構(gòu)必須每年請可信賴的第三方審計機(jī)構(gòu)（如畢馬威、德勤和安永）來審計驗(yàn)證方法。