ssl

SSL(Secure Sockets Layer 安全套接层),及其继任者 传输层安全（Transport Layer Security，TLS）是为 网络通信提供安全及 数据完整性的一种安全协议。TLS与SSL在 传输层对网络连接进行加密。

1简介编辑

Secure Socket Layer，为 Netscape所研发，用以保障在Internet上数据传输之安全，利用 数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。一般通用之规格为40 bit之安全标准， 美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape 浏览器即可支持SSL。

当前版本为3.0。它已被广泛地用于 Web浏览器与服务器之间的 身份认证和加密数据传输。

SSL协议位于 TCP/IP协议与各种 应用层协议之间，为 数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的 传输协议（如TCP）之上，为高层协议提供 数据封装、压缩、加密等基本功能的支持。 SSL 握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行 身份认证、协商 加密算法、交换加密 密钥等。

2提供服务编辑

1）认证用户和服务器，确保数据发送到正确的 客户机和 服务器；

2）加密数据以防止数据中途被窃取；

3）维护数据的完整性，确保数据在传输过程中不被改变。

3支持服务器类型编辑

1. Tomcat 5.x

2. Nginx

3. IIS

4. Apache 2.x

5. IBM HTTP SERVER 6.0 ^[1]

4工作流程编辑

服务器认证阶段：1） 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主 密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的 公开密钥加密后传给服务器；4）服务器回复该主密钥，并返回给客户一个用主 密钥认证的信息，以此让 客户认证服务器。

用户认证阶段：在此之前，服务器已经通过了 客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其 公开密钥，从而向服务器提供认证。

从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过 数字签名和 数字证书可实现 浏览器和Web服务器双方的 身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

5https介绍编辑

HTTPS（ Hypertext Transfer Protocol Secure） 安全超文本传输协议

它是由Netscape开发并内置于其 浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全 套接字层（SSL）作为HTTP 应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流 加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509 数字认证，如果需要的话用户可以确认发送者是谁。。

https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme(抽象 标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/ 身份验证层（在HTTP与TCP之间）。这个系统的最初研发由 网景公司进行，提供了 身份验证与加密通讯方法，它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

限制

它的安全保护依赖 浏览器的正确实现以及 服务器软件、实际 加密算法的支持.

一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。

商业网站被人们期望迅速尽早引入新的特殊处理程序到金融 网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。 ^[2]

6应用编辑

extended validation ssl certificates翻译为中文即扩展验证（EV）SSL证书，该证书经过最彻底的身份验证，确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的 GlobalSign名称，从而最大限度上确保网站的安全性，树立网站可信形象，不给欺诈钓鱼网站以可乘之机。

对线上购物者来说，绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下，使用扩展验证（EV） SSL证书的网站的 浏览器 地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称，这些均向客户传递同一信息，该网站身份可信，信息传递安全可靠，而非 钓鱼网站。