TLS/SSL的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。
解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息,并颁发认证"证书",同时能够为使用者提供证书验证服务,即PKI体系。
基本的原理为,CA负责审核信息,然后对关键信息利用私钥进行"签名",公开对应的公钥,客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书,基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下:
避免身份造假!
解释原因:
CA(数字证书认证,Certificate Authority)机构,是承担公钥合法性检验的第三方权威机构,负责指定政策、步骤来验证用户的身份,并对SSL证书进行签名,确保证书持有者的身份和公钥的所有权。
DVSSL证书只验证对域名的管理权限,DVSSL证书适用于不需要身份保证,只需要实现加密的网站,或者个人博客类的网站。
OVSSL证书必须根据严格的行业标准进行验证,在颁发OVSSL证书之前,需要进行三方面的验证:1、验证对域名的管理权限。2、由受信任的证书颁发机构验证企业是否是一个合法存在的真实实体。3、能够授权证书的颁发。CA会以认可的通讯方式与申请人联系,这通常是通过电话完成的,其中电话号码是通过政府网站查询到的。
EVSSL证书的审查更为严格,审查部会在政府网站上查询公司相关信息,验证申请组织是合法注册且真实存在的实体,并拨打查询到的固定电话来确认该企业是否在申请EVSSL证书,若无法接听,还需要提供律师证明文件才能通过审核。
Gworg总结:SSL证书的存在是为了进行身份识别与数据加密协议传输。
如果不核实身份,SSL证书就起不到确定身份、数据传输加密的作用了。
订户申请OV SSL、EV SSL证书时,应提交如下材料:
1、机构身份证明材料(营业执照等)
2、经办人身份证明材料
3、证书申请文件
4、SSL 证书申请表
SSL证书申请表及证明材料复印件需加盖公章。
这些资料可以对网站的真实身份做一个验证,证明该网站可信,用户可进行数据填写、交易等。安全得到保证。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)