有一种叫做双向 SSL/TLS 的东西——这是你需要知道的
“等等,什么?2 路 SSL/TLS?”
如果这是您在听到或阅读有关 2 路 SSL(或 2 路 SSL,如果您愿意)时的反应,那么我们完全理解您的困惑。无论如何,SSL 本身并不容易理解。而且,当您了解它的不同版本时——相互认证而不是标准的单向认证——面对手掌的反应是完全自然的。但是请不要担心——我们将分解 SSL 的两种方式以及它如何工作,以进一步继续我们的探索,为世界上的“网民”简化每个复杂的 SSL 相关主题。
双向 SSL 是一种 SSL/TLS 证书,客户端和服务器在其中相互验证以安全地相互通信。
在我们直接进入双向 SSL 的主题之前,让我们先回顾一下您已经知道一点的东西:单向 SSL。
一种方式 SSL:概述
你能在浏览器的地址栏中看到那个挂锁图标吗?是的,这是一种 SSL 方式的直观表示。好的,让我们更清楚一点:SSL/TLS 证书促进了两个实体(您的最终用户的浏览器和您的 Web 服务器)之间的安全(加密)连接。不仅如此,它还允许在 Web 服务器和浏览器之间进行身份验证。
由于 SSL 证书安装在 Web 服务器上,因此 Web 浏览器应该验证网站的合法性。另一方面,Web 服务器不验证 Web 浏览器。这被称为“单向 SSL”或单向 TLS,因为它只允许从一端进行身份验证。
整个身份验证过程通过一个被视为“ SSL/TLS 握手”的过程进行。HTTPS 连接中使用了几个不同版本的握手,即最新的 TLS 1.2 和 TLS 1.3。让我们通过分解更深入地了解 TLS 1.3 握手过程:
- 首先,客户端(浏览器)发送支持的密码套件和兼容的 SSL/TLS 版本来启动连接。这称为“客户端问候”消息。
- 作为回报,Web 服务器检查密码套件和 SSL/TLS 版本。然后,它将其公共证书与“服务器问候”消息一起共享给客户端。
- 收到证书文件后,客户端对其进行验证。然后,浏览器通过使用 SSL/TLS 证书的公钥生成和加密“预主密钥”来启动私钥验证过程。
- 反过来,Web 服务器使用其私钥解密预主密钥并建立安全连接。
这就是Web服务器的验证完成的方式。这称为“单向 SSL/TLS”。但这与两种方式的 SSL 或相互身份验证过程有何不同?
双向 SSL:双方的身份验证
双向 SSL,也称为双向 SSL 证书,是 SSL 证书,服务器和客户端在其中相互验证,以获得更强大的安全性。
既然您了解了 SSL/TLS 的一种方式是如何工作的,那么您就可以猜出 SSL 的两种方式是什么。与单向 SSL 不同,2 向 SSL 不仅涉及对 Web 服务器的验证,还涉及对 Web 浏览器的验证——或者称为客户端身份验证。当然,这个过程除了服务器端的 SSL/TLS 证书之外,还涉及到用户端的客户端证书(或所谓的个人认证证书),并且每一方都验证对方的证书。
以下是 2 路 SSL 握手过程所需的步骤:
- 首先,客户端发送支持的密码套件和兼容的 SSL/TLS 版本来启动连接。这称为“客户端问候”消息。
- 作为回报,Web 服务器检查密码套件和 SSL/TLS 版本。然后,它将其公共证书连同对客户端证书的请求及其“服务器问候”消息发送给客户端。
- 收到证书文件后,浏览器会对其进行验证。之后,客户端将自己的 SSL 证书发送到服务器。
- 然后,服务器验证客户端的 SSL/TLS 证书并为与它的安全连接铺平道路。
那不是太复杂,不是吗?
为什么需要双向 SSL/TLS?
那么,哪种身份验证方法更适合您——单向身份验证与双向身份验证?
不用说,双向 SSL 用于您只希望服务器接受来自有限数量用户的连接的地方。它有助于降低在线交易中的欺诈风险。
双向 SSL 的典型用例是在希望将对其平台的访问限制为仅限其员工和/或客户的组织中。
虽然一些组织可能会选择将 IP 地址列入白名单以限制用户访问,但这并不是一种理想的做法,因为 IP 欺骗变得越来越普遍。
1342
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
