ssl/tls协议基本原理_互联网安全的工作原理:TLS,SSL和CA

最新推荐文章于 2022-11-16 11:26:48 发布
最新推荐文章于 2022-11-16 11:26:48 发布
阅读量420 收藏
点赞数
文章标签: java https python 安全 数据库
原文链接:https://opensource.com/article/19/11/internet-security-tls-ssl-certificate-authority
版权

ssl/tls协议基本原理

每天,您都会多次访问要求您使用用户名或电子邮件地址和密码登录的网站。 银行网站,社交网站,电子邮件服务,电子商务网站和新闻网站只是使用此机制的少数几种网站。

每次您登录其中一个网站时,您实质上是在说:“是的,我信任该网站,因此我愿意与它共享我的个人信息。” 这些数据可能包括您的姓名,性别,实际地址,电子邮件地址,有时甚至包括信用卡信息。

但是您怎么知道您可以信任特定的网站? 换句话说,网站如何保护您的交易,使您可以信任它?

本文旨在揭露使网站安全的机制的神秘性。 我将首先讨论Web协议HTTP和HTTPS以及传输层安全性(TLS)的概念,后者是Internet协议(IP)层中的加密协议之一。 然后,我将解释证书颁发机构(CA)和自签名证书,以及它们如何帮助保护网站。 最后,我将介绍一些可用于创建和管理证书的开源工具。

通过HTTPS保护路由

理解受保护网站的最简单方法是查看其运行情况。 幸运的是,今天在互联网上找到安全网站要比不安全网站容易得多。 但是,由于您已经在Opensource.com上,因此我将以它为例。 无论使用哪种浏览器,地址栏旁都应显示一个类似于锁的图标。 单击锁定图标,您应该会看到类似的内容。

Certificate information

默认情况下,如果网站使用HTTP协议,则它是不安全的。 将通过网站主机配置的证书添加到路由可以将网站从不安全的HTTP站点转换为安全的HTTPS站点。 锁定图标通常指示该站点通过HTTPS保护。

单击证书以查看站点的CA。 根据您的浏览器,您可能需要下载证书才能看到它。

Certificate information

在这里,您可以了解有关Opensource.com证书的信息。 例如,您可以看到CA是DigiCert,并且以Opensource.com的名称提供给Red Hat。

通过此证书信息,最终用户可以检查网站是否可以安全访问。

警告:如果您在网站上没有看到证书标志,或者您看到的标志表明该网站不安全,请不要登录或进行任何需要您的私人数据的活动。 这样做非常危险!

如果看到警告标志(对于大多数面向公众的网站很少见),则通常意味着该证书已过期或使用自签名证书,而不是通过受信任的CA颁发的证书。 在进入这些主题之前,我想解释一下TLS和SSL。

带有TLS和SSL的Internet协议

TLS是旧版安全套接字层(SSL)协议的最新版本。 理解这一点的最好方法是检查IP的不同层。

IP layers

当今,互联网由六层组成:物理层,数据层,网络层,传输层,安全性和应用程序。 物理层是基础,它最接近实际硬件。 应用程序层是最抽象的层,也是最接近最终用户的一层。 安全层可以被认为是应用程序层的一部分,而TLS和SSL是设计用于在计算机网络上提供通信安全性的加密协议,位于安全层中。

此过程可确保最终用户使用该服务时通信的安全性和加密性。

证书颁发机构和自签名证书

CA是可以发布数字证书的受信任组织。

TLS和SSL可以使连接安全,但是加密机制需要一种验证连接的方法。 这是SSL / TLS证书。 TLS使用一种称为非对称加密的机制,该机制是一对称为私钥和公钥的安全密钥。 (这是一个非常复杂的主题,不在本文讨论范围之内,但是如果您想了解它,可以阅读“ 密码学和公共密钥基础结构简介 ”。)要了解的基本内容是,CA与GlobalSign,DigiCert和GoDaddy是外部受信任的供应商,它们发行用于验证网站使用的TLS / SSL证书的证书。 该证书将导入到托管服务器以保护网站。

自签名证书是由创建它的人而不是受信任的CA签名的TLS / SSL证书。 从计算机生成自签名证书很容易,并且可以使您无需立即购买昂贵的CA签名证书即可测试安全的网站。 尽管自签名证书肯定会投入生产使用,但对于在生产前阶段进行开发和测试,这是一种简单而灵活的选择。

用于生成证书的开源工具

有几种开源工具可用于管理TLS / SSL证书。 最著名的一个是OpenSSL,它包含在许多Linux发行版和macOS中。 但是,也可以使用其他开源工具。

工具名称 描述 执照
OpenSSL 用于实施TLS和加密库的最著名的开源工具 Apache许可2.0
EasyRSA 用于构建和管理PKI CA的命令行实用程序 GPL v2
CFSSL 来自Cloudflare的PKI / TLS“瑞士军刀” BSD 2条款“简化”许可证
Lemur Netflix的TLS创建工具 Apache许可2.0

考虑到Netflix的扩展目标和用户友好目标,它的Lemur是一个特别有趣的选择。 您可以在Netflix的技术博客上了解更多信息。

如何创建OpenSSL证书

我们有权自行创建证书。 本示例使用OpenSSL生成自签名证书。

  1. 使用openssl命令创建私钥: 
     openssl genrsa -out example.key 2048
Generating key with OpenSSL
  1. 使用在步骤1中生成的私钥创建证书签名请求(CSR): 
    
     
     
    
      
      
    
       
       openssl req 
       
       -new 
       
       -key example.key 
       
       -out example.csr \
       
       
    

       
       -subj 
       
       "/C=US/ST=TX/L=Dallas/O=Red Hat/OU=IT/CN=test.example.com"
Generating CSR
  1. 使用您的CSR和私钥创建证书: 
    
     
     
    
      
      
    
       
       openssl x509 
       
       -req 
       
       -days 
       
       366 
       
       -in example.csr \
       
       
    

       
       -signkey example.key 
       
       -out example.crt
Creating a certificate with OpenSSL

了解有关互联网安全的更多信息

如果您想了解有关互联网和网站安全的更多信息,请观看我为本文制作的随附YouTube视频。

你有什么问题? 在评论中让我知道。

翻译自: https://opensource.com/article/19/11/internet-security-tls-ssl-certificate-authority

ssl/tls协议基本原理

cumj63710
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
重大发现:一个免费的CA证书管理中心--EJBCA!!!
BeHarder的专栏
06-23 6076
ir最近要做ca认证中心,找了好多资料,没有一个好使的: 1.openssl--没有web方式的页面,尽管可以生成可用的ca证书和密钥,但是使用极其不便 2.jcssource,尽管有web方式的ca证书方法中心,可是生成的证书只能用在指定的web服务器上(我试过了,反正tomcat上不能用) 3。EJBCA,一个完全免费的CA中心,经过两天的调试终于试通了,由于他需要EJB支持,因此服务器必须完
企业级K8S的部署和实战案例教程
04-14
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。Kubernetes一个核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着(比如用户想让apache一直运行,用户不需要关心怎么去做,Kubernetes会自动去监控,然后去重启,新建,总之,让apache一直提供服务),管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes也系统提升工具以及人性化方面,让用户能够方便的部署自己的应用(就像canary deployments)。容器编排调度引擎 —— k8s 的好处简化应用部署提高硬件资源利用率健康检查和自修复自动扩容缩容服务发现和负载均衡通过本教程的学习,你可以掌握K8S的简介、K8S的集群搭建(三种部署方式)、K8S企业应用案例(SpringBoot和K8S的实战、SpringCloud的客户端案例等),胜任企业级的开发工作。
什么是 SSLTLS 协议
最新发布
weixin_41883890的博客
11-16 1058
协议由两层组成: TLS 记录协议TLS Record)和 TLS 握手协议TLS Handshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议(例如 TCP)上面,与具体的应用无关,所以,一般把TLS协议归为传输层安全协议SSL协议可分为两层: SSL记录协议SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。TLS握手协议TLS协议中最复杂的部分。这个过程是在TLS记录协议的顶部执行的。
lemur-docker:用于Lemur证书编排工具的Docker文件
05-01
狐猴码头工人 有关Lemur的完整文档,请参阅 。 此仓库利用docker compose来启动一组容器,以支持Lemur项目的开发。 这仅用于开发和测试,不适用于生产。 有关将这些容器投入生产的信息,请参见“部分。 该项目将生成检出的狐猴存储库子目录的当前状态,这意味着您可以进行更改并重建容器以进行选择。 如果需要,它还具有转储和加载另一个数据库的功能。 用真实的狐猴数据库副本进行测试。 另外,它还可以选择初始化一个空数据库。 如果您选择启用芹菜任务,它们也将运行。 要求 最新版本的最低版本20 最新版本的最低版本1.27 制作(可选) 准备 查看当前仓库: git clone git@github.com:Netflix/lemur-docker.git cd lemur-docker 开始 一个magic命令,可满足您的所有需求: make 注意:默认情况下,所有在后台
免费CA证书系统
10-25
一个免费的开源的CA 证书签发系统,仅供参考和学习使用
ssl_tls协议RFC5246文档_ssl_ssl标准文档_
09-28
SSL/TLS安全套接层/传输层安全协议是互联网上广泛使用的安全通信协议,用于在客户端(如浏览器)和服务器之间建立安全、私密的连接,保护数据免受窃听和篡改。RFC5246文档是SSL/TLS协议的最新版本,正式名为...
CA加密网络安全HTTPSSSL安全传输协议SSLTLS及WTLS原理.docx
07-08
CA 加密网络安全 HTTP/SSL 安全传输协议 SSLTLS 及 WTLS原理 一、SSL/TLS 概述 SSL(Secure Socket Layer)是 Netscape 公司设计的主要用于 WEB 的安全传输协议TLS(Transport Layer Security)是 IETF ...
论文研究-基于SSL/TLS的嵌入式网络通信安全解决方案 .pdf
08-14
综上所述,本文研究了基于SSL/TLS的嵌入式网络通信安全解决方案,分析了嵌入式设备网络通信的环境限制和安全需求,探讨了公钥基础设施的数字证书体系和SSL/TLS协议的结合使用,以实现嵌入式设备远程通信的安全。...
Implementing SSL / TLS Using Cryptography and PKI 1st Edition (无水印,数字版)
03-16
SSL安全套接字层)和TLS(传输层安全性)是两种广泛使用的安全协议,它们为数据传输提供加密、数据完整性和身份验证服务。SSL的最后一个版本是3.0,而TLS是基于SSL 3.0并对其进行改进后的新版本,当前的主流版本是...
CycloneSSL - Embedded SSL/TLS Library
12-29
SSL(Secure Sockets Layer)和其继任者TLS(Transport Layer Security)是网络安全领域中用于实现加密通信的重要协议,广泛应用于HTTPS、FTP、SMTP等网络协议中,确保数据在传输过程中的安全性和隐私性。...
TLSSSL协议详解
06-25
很多人把SSLHTTPS混为一谈,认为SSL就是HTTPS,其实不尽然。SSL全称是“Secure Socket Layer”,字面上可以从“Secure”单词可以看出,SSL是负责“安全”传输的,并不关心传输的内容是什么。而HTTPS只是SSL应用的一种,即用SSL加密HTTP内容(普遍采用443端口),SSL还可以加密Email(995、465端口)。
自建CA与签发证书
十五十六
08-09 5493
CA 简介 在加密中,证书颁发机构或证书颁发机构(CA)是颁发数字证书的实体。数字证书通过证书的指定主题来证明公钥的所有权。这允许其他人(依赖方)依赖签名或关于与经认证的公钥对应的私钥的断言。CA充当受信任的第三方 -由证书的主体(所有者)和依赖证书的一方信任。这些证书的格式由X.509标准指定。 证书颁发机构的一个特别常见的用途是签署HTTPS中使用的证书,这是万维网的安全浏览协议。另...
建立私有CA实现证书申请颁发
你是遥远的星河
02-04 2751
CA证书 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书 服务器证书 用户证书 获取证书两种方法: 自签名的...
ca 服务器的搭建 和证书的申请与颁发
weixin_34061482的博客
06-18 642
CA证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权,那么有一个疑问,谁给CA来颁发证书呢,嘿嘿,当然是它自己给自己颁发了。 openssl是一款开源的加密工具,在Linux环境下,我们能够利用它来搭建一个CA来实现证书的发放,可以用于企业内部使用的加...
TLS/SSL协议工作原理
码莎拉蒂
10-19 3279
1、TLS/SSL的功能实现原理简单介绍 HTTPS协议的主要功能基本都依赖于TLS/SSL协议TLS/SSL的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。 2、散列函数Hash 常见的有 MD5、SH
图解SSL/TLS协议
热门推荐
NowOrNever
11-11 1万+
转载http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
CFSSL使用方法重新整理说明
weixin_34102807的博客
06-11 7001
CFSSL是CloudFlare的PKI / TLS瑞士×××。它既是命令行工具,也是用于签名,验证和捆绑TLS证书的HTTP API服务器.1.下载安装CFSSL(用于签名,验证和捆绑TLS证书的HTTP API工具)(master节点)wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64wget https://pkg.cfssl...
CA系统、证书常识
eclipse_spring的专栏
10-09 1402
1.什么是CA  CA是Certification Authoritcation的缩写,即证书颂发机构,他是一个负责发放和维护证书的实体,一般是第三方的。 2.什么是证书  证书就是数字化的文件,里面有一个实体(网站,个人等)的公共密钥和其他的属性,如名称、CA信息、加密算法等。该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。 3.加密算法都有哪些  加密算法主要分为对...
SSL/TLS详解:协议原理安全基础
1. **SSL/TLS历史**:文档首先回顾了SSL(Secure Sockets Layer)和其后续版本TLS(Transport Layer Security)的发展历程,包括它们如何从最初的简单通信保护发展到现代的高级安全协议。这个部分强调了协议演进的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值