https
超文本傳輸安全協議
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本傳輸安全協議),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。
它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認埠及一個加密/身份驗證層(在HTTP與TCP之間)。
這個系統的最初研發由網景公司(Netscape)進行,並內置於其瀏覽器Netscape Navigator中,提供了身份驗證與加密通訊方法。現在它被廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。
HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數據的明文傳送和消息完整性檢測的缺乏, 而這兩點恰好是網路支付, 網路交易等新興應用中安全方面最需要關注的。
關於 HTTP的明文數據傳輸, 攻擊者最常用的攻擊手法就是網路嗅探, 試圖從傳輸過程當中分析出敏感的數據, 例如管理員對 Web 程序後台的登錄過程等等, 從而獲取網站管理許可權, 進而滲透到整個伺服器的許可權。即使無法獲取到後台登錄信息, 攻擊者也可以從網路中獲取普通用戶的隱秘信息, 包括手機號碼, 身份證號碼, 信用卡號等重要資料, 導致嚴重的安全事故。進行網路嗅探攻擊非常簡單, 對攻擊者的要求很低。使用網路發布的任意一款抓包工具, 一個新手就有可能獲取到大型網站的用戶信息。
另外,HTTP在傳輸客戶端請求和服務端響應時, 唯一的數據完整性檢驗就是在報文頭部包含了本次傳輸數據的長度, 而對內容是否被篡改不作確認。因此攻擊者可以輕易的發動中間人攻擊, 修改客戶端和服務端傳輸的數據, 甚至在傳輸數據中插入惡意代碼, 導致客戶端被引導至惡意網站被植入木馬。
HTTPS 協議是由 HTTP 加上 TLS/SSL 協議構建的可進行加密傳輸、身份認證的網路協議,主要通過數字證書、加密演演算法、非對稱密鑰等技術完成網際網路數據傳輸加密,實現網際網路傳輸安全保護。設計目標主要有三個。
(1)數據保密性:保證數據內容在傳輸的過程中不會被第三方查看。就像快遞員傳遞包裹一樣,都進行了封裝,別人無法獲知裡面裝了什麼。
(2)數據完整性:及時發現被第三方篡改的傳輸內容。就像快遞員雖然不知道包裹里裝了什麼東西,但他有可能中途掉包,數據完整性就是指如果被掉包,我們能輕鬆發現並拒收。
(3)身份校驗安全性:保證數據到達用戶期望的目的地。就像我們郵寄包裹時,雖然是一個封裝好的未掉包的包裹,但必須確定這個包裹不會送錯地方,通過身份校驗來確保送對了地方。
客戶端和服務端在傳輸數據之前,會通過基於X.509證書對雙方進行身份認證。具體過程如下 :
客戶端發起 SSL 握手消息給服務端要求連接。
服務端將證書發送給客戶端。
客戶端檢查服務端證書,確認是否由自己信任的證書籤發機構簽發。如果不是,將是否繼續通訊的決定權交給用戶選擇 ( 注意,這裡將是一個安全缺陷 )。如果檢查無誤或者用戶選擇繼續,則客戶端認可服務端的身份。
服務端要求客戶端發送證書,並檢查是否通過驗證。失敗則關閉連接,認證成功則從客戶端證書中獲得客戶端的公鑰,一般為1024位或者 2048位。到此,伺服器客戶端雙方的身份認證結束,雙方確保身份都是真實可靠的。
客戶端和服務端在開始傳輸數據之前,會協商傳輸過程需要使用的加密演演算法。客戶端發送協商請求給服務端, 其中包含自己支持的非對稱加密的密鑰交換演演算法 ( 一般是RSA), 數據簽名摘要演演算法 ( 一般是SHA或者MD5) , 加密傳輸數據的對稱加密演演算法 ( 一般是DES),以及加密密鑰的長度。服務端接收到消息之後,選中安全性最高的演演算法,並將選中的演演算法發送給客戶端,完成協商。客戶端生成隨機的字元串,通過協商好的非對稱加密演演算法,使用服務端的公鑰對該字元串進行加密,發送給服務端。服務端接收到之後,使用自己的私鑰解密得到該字元串。在隨後的數據傳輸當中,使用這個字元串作為密鑰進行對稱加密。
SSL使用序列號來保護通訊方免受報文重放攻擊。這個序列號被加密後作為數據包的負載。在整個SSL握手中,都有一個唯一的隨機數來標記SSL握手。這樣防止了攻擊者嗅探整個登錄過程,獲取到加密的登錄數據之後,不對數據進行解密, 而直接重傳登錄數據包的攻擊手法。
可以看到,鑒於電子商務等安全上的需求,HTTPS對比HTTP,在安全方面已經取得了極大的增強。總結來說,HTTPS的改進點在於創造性的使用了非對稱加密演演算法,在不安全的網路上,安全的傳輸了用來進行對稱加密的密鑰,綜合利用了非對稱加密的安全性和對稱加密的快速性。
HTTPS 主要由兩部分組成:HTTP + SSL / TLS,也就是在 HTTP 上又加了一層處理加密信息的模塊。服務端和客戶端的信息傳輸都會通過TLS 進行加密,所以傳輸的數據都是加密后的數據。
① 客戶端的瀏覽器首先要通過網路與伺服器建立連接,該連接是通過TCP 來完成的,一般TCP 連接的埠號是80。建立連接后,客戶機發送一個請求給伺服器,請求方式的格式為:統一資源標識符(URL)、協議版本號,後邊是 MIME 信息包括請求修飾符、客戶機信息和許可內容。
② 伺服器接到請求后,給予相應的響應信息,其格式為一個狀態行,包括信息的協議版本號、一個成功或錯誤的代碼,後邊是 MIME 信息包括伺服器信息、實體信息和可能的內容。
① 客戶端將它所支持的演演算法列表和一個用作產生密鑰的隨機數發送給伺服器;
② 伺服器從演演算法列表中選擇一種加密演演算法,並將它和一份包含伺服器公用密鑰的證書發送給客戶端;該證書還包含了用於認證目的的伺服器標識,伺服器同時還提供了一個用作產生密鑰的隨機數;
③ 客戶端對伺服器的證書進行驗證(有關驗證證書,可以參考數字簽名),並抽取伺服器的公用密鑰;然後,再產生一個稱作 pre_master_secret 的隨機密碼串,並使用伺服器的公用密鑰對其進行加密(參考非對稱加 / 解密),並將加密后的信息發送給伺服器;
④ 客戶端與伺服器端根據 pre_master_secret 以及客戶端與伺服器的隨機數值獨立計算出加密和 MAC密鑰(參考 DH密鑰交換演演算法) ;
⑤ 客戶端將所有握手消息的 MAC 值發送給伺服器;
⑥ 伺服器將所有握手消息的 MAC 值發送給客戶端。
● ● 使用 HTTPS 協議可認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器 ;
● ● HTTPS 協議是由 SSL+HTTP構建的可進行加密傳輸、身份認證的網路協議,要比 HTTP安全,可防止數據在傳輸過程中被竊取、改變,確保數據的完整性 。
● ● HTTPS 是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本 。
● ● 相同網路環境下,HTTPS 協議會使頁面的載入時間延長近 50%,增加 10%到 20%的耗電。此外,HTTPS 協議還會影響緩存,增加數據開銷和功耗 。
● ● HTTPS 協議的安全是有範圍的,在黑客攻擊、拒絕服務攻擊和伺服器劫持等方面幾乎起不到什麼作用 。
● ● 最關鍵的是,SSL 證書的信用鏈體系並不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行 。
● ● 成本增加。部署 HTTPS 后,因為 HTTPS 協議的工作要增加額外的計算資源消耗,例如 SSL 協議加密演演算法和 SSL 交互次數將佔用一定的計算資源和伺服器成本。在大規模用戶訪問應用的場景下,伺服器需要頻繁地做加密和解密操作,幾乎每一個位元組都需要做加解密,這就產生了伺服器成本。隨著雲計算技術的發展,數據中心部署的伺服器使用成本在規模增加后逐步下降,相對於用戶訪問的安全提升,其投入成本已經下降到可接受程度 。
現有銀行對外提供的網際網路金融服務中,網際網路門戶類網站和圖片網站主要通過 HTTP對外服務。其 中門戶網站為用戶提供金融諮詢和優惠信息等服務,還提供銀行App客戶端、U盾驅動等程序下載服務。為提升用戶服務體驗,此類 HTTP 網站還部署了內容分發網路(Content Delivery Network,CDN),通過 CDN 將用戶需要訪問的信息放到離用戶所在物理地區最近內容服務站點,可以大幅提升網際網路對外服務的獲取速度,提供最佳訪問體驗。上述 CDN 通常為基於 HTTP的網際網路應用提供服務,而隨著網際網路環境中的劫持、篡改等訪問安全問題的日趨嚴峻,CDN 提供的網路分發方案也需要支持 HTTP改造為 HTTPS 協議。下面是對 HTTP 到 HTTPS 改造應用和網路的方案介紹。
(1)從 HTTP 轉向 HTTPS 的應用改造要點:HTTP 頁面分析評估信息數據安全等級;WEB 頁面訪問改造;站點證書申請和部署;啟用 HTTPS 協議支持,增加 TCP-443 埠,對外服務。
(2)從 HTTP 轉向 HTTPS 的 CDN 服務改造要點: CDN 側調整網路服務;CDN 站點增加對 HTTPS 協議支持;CDN 站點對 HTTPS 加速技術進行優化提升穩定性; CDN 站點支持端到端的全鏈路 HTTPS 支持能力;CDN 站點增加 CA 證書部署的實施方案。
現有網際網路環境中仍大約有 65% 的網站使用 HTTP,此部分的網際網路站的用戶訪問會存在很高的安全 隱患,導致信息泄露、木馬植入等情況出現。針對這一情況,為網際網路提供安全服務而採用 HTTPS 已是大勢所趨。HTTP 到 HTTPS 的轉向可以幫助企業網提升用 戶訪問安全水平,特別是對於有敏感信息保存和提供金融交易等服務的企業更有幫助。Google、Facebook 和國內諸多大型網際網路公司應用已經全面支持 HTTPS,並且蘋果和谷歌兩大公司也在積極推動 HTTPS 擴大應用 範圍,對 HTTPS 協議在全球網站的部署進度起到加速作用。
網景在1994年創建了HTTPS,並應用在網景導航者瀏覽器中。最初,HTTPS是與SSL一起使用的;在SSL逐漸演變到TLS時,最新的HTTPS也由在2000年五月公布的RFC 2818正式確定下來。
它是由Netscape開發並內置於其瀏覽器中,用於對數據進行加密和解密操作,並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的安全套接層(SSL)作為HTTP應用層的子層。(HTTPS使用埠443,而不是像HTTP那樣使用埠80來和TCP/IP進行通信。)SSL使用40 位關鍵字作為RC4流加密演演算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證,如果需要的話用戶可以確認發送者是誰。
也就是說它的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性,凡是使用了 https 的網站,都可以通過點擊瀏覽器地址欄的鎖頭標誌來查看網站認證之後的真實信息,也可以通過 CA 機構頒發的安全簽章來查詢。
信任主機的問題
採用https的伺服器必須從CA (Certificate Authority)申請一個用於證明伺服器用途類型的證書。該證書只有用於對應的伺服器的時候,客戶端才信任此主機。所以所有的銀行系統網站,關鍵部分應用都是https 的。客戶通過信任該證書,從而信任了該主機。其實這樣做效率很低,但是銀行更側重安全。這一點對區域網對內提供服務處的伺服器沒有任何意義。區域網中的伺服器,採用的證書不管是自己發布的還是從公眾的地方發布的,其客戶端都是自己人,所以該區域網中的客戶端也就肯定信任該伺服器。
通訊過程中的數據的泄密和被篡改
1. 一般意義上的https,就是伺服器有一個證書。
主要目的是保證伺服器就是他聲稱的伺服器,這個跟第一點一樣。
服務端和客戶端之間的所有通訊,都是加密的。
具體講,是客戶端產生一個對稱的密鑰,通過伺服器的證書來交換密鑰,即一般意義上的握手過程。
接下來所有的信息往來都是加密的。第三方即使截獲,也沒有任何意義,因為他沒有密鑰,當然篡改也就沒有什麼意義了。
2. 少許對客戶端有要求的情況下,會要求客戶端也必須有一個證書。
這裡客戶端證書,其實就類似表示個人信息的時候,除了用戶名/密碼,還有一個CA 認證過的身份。因為個人證書一般來說是別人無法模擬的,所有這樣能夠更深地確認自己的身份。
目前大多數個人銀行的專業版是這種做法,具體證書可能是拿U盤(即U盾)作為一個備份的載體。
它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際加密演演算法的支持。
一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上,與伺服器的加密連接中能保護銀行卡號的部分,只有用戶到伺服器之間的連接及伺服器自身。並不能絕對確保伺服器自己是安全的,這點甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶數據時發生,攻擊者會嘗試竊聽傳輸中的數據。
商業網站被人們期望迅速儘早引入新的特殊處理程序到金融網關,僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個資料庫里。那些資料庫和伺服器少數情況有可能被未授權用戶攻擊和損害。
TLS 1.1之前,這段僅針對TLS 1.1之前的狀況。因為SSL位於http的下一層,並不能理解更高層協議,通常SSL伺服器僅能頒證給特定的IP/埠組合。這使它經常不能在虛擬主機(基於域名)上與HTTP正常組合成HTTPS。
這一點將在TLS 1.1更新為一種完全支持基於域名的虛擬主機。
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網路連接進行加密。
SSL (Secure Socket Layer)為Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,可確保數據在網路上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40 bit之安全標準,美國則已推出128 bit之更高安全標準,但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。
當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密數據傳輸。
SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL協議可分為兩層:SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密演演算法、交換加密密鑰等。
SSL協議提供的服務主要有哪些
1)認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器
2)加密數據以防止數據中途被竊取
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL協議的工作流程
伺服器認證階段:
1)客戶端向伺服器發送一個開始信息“Hello”以便開始一個新的會話連接;
2)伺服器根據客戶的信息確定是否需要生成新的主密鑰,如需要則伺服器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;
3)客戶根據收到的伺服器響應信息,產生一個主密鑰,並用伺服器的公開密鑰加密後傳給伺服器;
4)伺服器恢復該主密鑰,並返回給客戶一個用主密鑰認證的信息,以此讓客戶認證伺服器。
用戶認證階段
在此之前,伺服器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的伺服器發送一個提問給客戶,客戶則返回(數字)簽名后的提問和其公開密鑰,從而向伺服器提供認證。
從SSL 協議所提供的服務及其工作流程可以看出,SSL協議運行的基礎是商家對消費者信息保密的承諾,這就有利於商家而不利於消費者。在電子商務初級階段,由於運作電子商務的企業大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。但隨著電子商務的發展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證,但是SSL協議仍存在一些問題,比如,只能提供交易中客戶與伺服器間的雙方認證,在涉及多方的電子交易中,SSL協議並不能協調各方間的安全傳輸和信任關係。在這種情況下,Visa和MasterCard兩大信用卡公組織制定了SET協議,為網上信用卡支付提供了全球性的標準。
為了便於更好的認識和理解SSL 協議,這裡著重介紹SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術,對稱加密技術雖然比公鑰加密技術的速度快,可是公鑰加密技術提供了更好的身份認證技術。SSL 握手協議非常有效地讓客戶和伺服器之間完成相互之間的身份認證,其主要過程如下:
①客戶端的瀏覽器向伺服器傳送客戶端SSL 協議的版本號,加密演演算法的種類,產生的隨機數,以及其他伺服器和客戶端之間通訊所需要的各種信息。
②伺服器向客戶端傳送SSL 協議的版本號,加密演演算法的種類,隨機數以及其他相關信息,同時伺服器還將向客戶端傳送自己的證書。
③客戶利用伺服器傳過來的信息驗證伺服器的合法性,伺服器的合法性包括:證書是否過期,發行伺服器證書的CA 是否可靠,發行者證書的公鑰能否正確解開伺服器證書的“發行者的數字簽名”,伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過,通訊將斷開;如果合法性驗證通過,將繼續進行第四步。
④用戶端隨機產生一個用於後面通訊的“對稱密碼”,然後用伺服器的公鑰(伺服器的公鑰從步驟②中的伺服器的證書中獲得)對其加密,然後將加密后的“預主密碼”傳給伺服器。
⑤如果伺服器要求客戶的身份認證(在握手過程中為可選),用戶可以建立一個隨機數然後對其進行數據簽名,將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給伺服器。
⑥如果伺服器要求客戶的身份認證,伺服器必須檢驗客戶證書和簽名隨機數的合法性,具體的合法性驗證過程包括:客戶的證書使用日期是否有效,為客戶提供證書的CA 是否可靠,發行CA 的公鑰能否正確解開客戶證書的發行CA 的數字簽名,檢查客戶的證書是否在證書廢止列表(CRL)中。檢驗如果沒有通過,通訊立刻中斷;如果驗證通過,伺服器將用自己的私鑰解開加密的“預主密碼”,然後執行一系列步驟來產生主通訊密碼(客戶端也將通過同樣的方法產生相同的主通訊密碼)。
⑦伺服器和客戶端用相同的主密碼即“通話密碼”,一個對稱密鑰用於SSL 協議的安全數據通訊的加解密通訊。同時在SSL 通訊過程中還要完成數據通訊的完整性,防止數據通訊中的任何變化。
⑧客戶端向伺服器端發出信息,指明後面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰,同時通知伺服器客戶端的握手過程結束。
⑨伺服器向客戶端發出信息,指明後面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰,同時通知客戶端伺服器端的握手過程結束。
⑩SSL 的握手部分結束,SSL 安全通道的數據通訊開始,客戶和伺服器開始使用相同的對稱密鑰進行數據通訊,同時進行通訊完整性的檢驗。
如果要啟用SSL通道,那麼需要使用SSL證書來啟用https協議,SSl證書包含信息:
證書版本號,不同版本的證書格式不同
Serial Number 序列號,同一身份驗證機構簽發的證書序列號唯一
Algorithm Identifier 簽名演演算法,包括必要的參數Issuer 身份驗證機構的標識信息
Period of Validity 有效期
Subject 證書持有人的標識信息
Subject’s Public Key 證書持有人的公鑰
Signature 身份驗證機構對證書的簽名
證書的格式 認證中心所發放的證書均遵循X.509 V3 標準,其基本格式如下:
證書版本號(Certificate Format Version)
含義:用來指定證書格式採用的X.509 版本號。
證書序列號(Certificate Serial Number)
含義:用來指定證書的唯一序列號,以標識CA 發出的所有公鑰證書。
簽名(Signature)演演算法標識(Algorithm Identifier)
含義:用來指定 CA 簽發證書所用的簽名演演算法。
簽發此證書的 CA 名稱(Issuer )
含義:用來指定簽發證書的 CA 的X.500 唯一名稱(DN,Distinguished Name)。
證書有效期(Validity Period)起始日期(notBefore)終止日期(notAfter)
含義:用來指定證書起始日期和終止日期。
用戶名稱(Subject)
含義:用來指定證書用戶的X.500 唯一名稱(DN,Distinguished Name)。
用戶公鑰信息(Subject Public Key Information)演演算法(algorithm)演演算法標識(Algorithm Identifier)用戶公鑰(subject Public Key)
含義:用來標識公鑰使用的演演算法,並包含公鑰本身。
證書擴充部分(擴展域)(Extensions)
含義:用來指定額外信息。
X.509 V3 證書的擴充部分(擴展域)及實現方法如下:
CA 的公鑰標識(Authority Key Identifier)
公鑰標識(SET 未使用)(Key Identifier)
簽發證書者證書的簽發者的甄別名(Certificate Issuer)
簽發證書者證書的序列號(Certificate Serial Number)
X.509 V3 證書的擴充部分(擴展域)及實現CA 的公鑰標識(Authority Key Identifier)
公鑰標識(SET 未使用)(Key Identifier)
簽發證書者證書的簽發者的甄別名(Certificat簽發證書者證書的序列號(Certificate Serial Number)
含義:CA 簽名證書所用的密鑰對的唯一標識用戶的公鑰標識(Subject Key Identifier)
含義:用來標識與證書中公鑰相關的特定密鑰進行解密。
證書中的公鑰用途(Key Usage)
含義:用來指定公鑰用途。
用戶的私鑰有效期(Private Key Usage Period)起始日期(Note Before)終止日期(Note After)
含義:用來指定用戶簽名私鑰的起始日期和終止日期。
CA 承認的證書政策列表(Certificate Policies)
含義:用來指定用戶證書所適用的政策,證書政策可由對象標識符表示。
用戶的代用名(Substitutional Name)
含義:用來指定用戶的代用名。
CA 的代用名(Issuer Alt Name)
含義:用來指定 CA 的代用名。
基本制約(Basic Constraints)
含義:用來表明證書用戶是最終用戶還是CA。在SET 系統中有一些私有擴充部分(擴展域)Hashed Root Key 含義:只在根證書中使用,用於證書更新時進行回溯。
證書類型(Certificate Type)
含義:用來區別不同的實體。該項是必選的。
商戶數據(Merchant Data)
含義:包含支付網關需要的所有商戶信息。
持卡人證書需求(Card Cert Required)
含義:顯示支付網關是否支持與沒有證書的持卡人進行交易。
SET 擴展(SETExtensions)
含義:列出支付網關支持的支付命令的 SET 信息擴展。
CRL 數據定義版本(Version)
含義:顯示 CRL 的版本號。
CRL 的簽發者(Issuer)
含義:指明簽發 CRL 的CA 的甄別名。
CRL 發布時間(this Update)預計下一個 CRL 更新時間(Next Update)撤銷證書信息目錄(Revoked Certificates) CRL 擴展(CRL Extension)CA 的公鑰標識(Authority Key Identifier)CRL 號(CRL Number)
SSL證書種類
CFCA,GlobalSign,VeriSign ,Geotrust ,Thawte 。
域名型 https 證書(DVSSL):信任等級一般,只需驗證網站的真實性便可頒發證書保護網站;
企業型 https 證書(OVSSL):信任等級強,需要驗證企業的身份,審核嚴格,安全性更高;
增強型 https 證書(EVSSL):信任等級最高,一般用於銀行證券等金融機構,審核嚴格,安全性最高,同時可以激活綠色網址欄。