SSL的三大误区

最新推荐文章于 2025-08-13 17:41:31 发布
转载 最新推荐文章于 2025-08-13 17:41:31 发布 · 762 阅读 · 0
文章标签:

#ssl #web服务 #浏览器 #网络 #电子商务 #office

说明:此文中所指的SSL证书应该是指只验证域名所有权的超真SSL证书,因为WoTrust 当时(2005年1月)代理销售GeoTrust QuickSSL Premium产品。GeoTrust QuickSSL + TrueSite认证 = 超真SSL,笔者实际上是强调购买验证真实身份的“超真SSL证书”的重要性!

。。网站欺诈(Phishing)目前日益猖獗,而很多安全厂商对此却束手无策,在目前条件下,这类攻击不是靠技术能解决的,需要靠人们搽亮眼睛。此外,网站作为受害方之一,也可以采取一定的措施自我保护。SSL认证曾经被认为是好方法,但目前存在认识误区。那么,还有什么好方法呢?

。。误区一:

。。对SSL数字证书(SSL证书)功能的误解。

。。许多网站开发者认为只要部署了SSL数字证书(SSL证书)就万事大吉了,错误地夸大了数字证书的功能。实际上部署了SSL数字证书(SSL证书),只能证明如下三点:

。。(1) 从用户的浏览器到正在访问的Web服务器之间所传输的数据是通过加密传输的,是不可被篡改、窃取和破译的,保证了用户输入的机密信息(如银行卡信息)在网络传输过程中是安全的。

。。(2) 浏览器右方有锁标志说明了此数字证书是由信任的机构颁发,并且与用户正在使用的浏览器兼容。

。。(3) 说明用户正在访问的Web服务器已经申请了SSL数字证书(SSL证书),并且正在访问的网站的域名的所有者与SSL数字证书(SSL证书)申请时填写的域名所有者是一致的。

。。误区二:

。。以为在屏幕右下角有“显示锁标志”就可以放心地在线填写信用卡等机密信息了。

。。有锁标志只能说明机密数据在传输过程是安全的,但是网上用户首先应该搞清楚的是您正在与谁交易,正在付钱给谁。一个假冒在线购物的网站也可以申请一个SSL数字证书(SSL证书)来麻痹用户,用户应该检查正在访问的网站是否就是要访问的购物网站,域名是否正确。点击锁标志,检查此证书是颁发给哪个网站的?此证书的网址是否就是您要访问的网址?再点击“详细信息”的“主题”项,VeriSign的数字证书一般在“O”或“OU”字段会列出此证书的网站的所有者,即会清楚地告诉您此网站是否是您计划与之交易的公司的网站。而GeoTrust的数字证书一般在“OU”字段有一个ChoicePoint CUI查验网址,可以在线查验该网站的所有者资料。而一个假冒的网站即使也有SSL数字证书(SSL证书),如果检查证书的详细信息就会发现问题。如招商银行信用卡网站的安全链接网址为:https://creditcard.cmbchina.com,访问后会发现浏览器下面有锁标志,点击锁标志后会显示此证书是颁发给creditcard.cmbchina.com,而再点击“详细信息”的“主题”项后会显示:CN = creditcard.cmbchina.com (Web服务器公用名称), OU = head office (申请机构的部门信息), O = China Merchants Bank (申请机构信息), L = Shenzhen (机构所在城市), S = Guangdong (机构所在州/省), C = CN (机构国家)。

。。但是,用户一定要明白,SSL数字证书(SSL证书)仅仅是为了保证数据传输的安全,它并不等于身份验证。要搞清楚的是用户正在访问的网站是否就是用户希望与之发生交易的公司的网站,这是最重要的。所以,要保证网上安全交易,还需要对网站的身份进行验证,验证此网站是否就是交易方的正宗网站。假如有一个假冒招商银行信用卡网站的安全链接网址为:https://creditcard.cmb-china.com,该假冒者在注册域名时也是填写域名注册者为China Merchants Bank,申请SSL数字证书(SSL证书)时也都是填写与域名cmbchina.com一样的信息,该假冒者当然也可以申请到SSL数字证书(SSL证书),只要申请证书时的信息与注册域名的信息一样。所以,此假冒网站也会显示锁标志,按以上方法验证证书,都可以是同样的正确信息。但是此网站是假冒网站,而用户只能以网站的网址做判断了。所以作者认为:最重要的是网站身份认证,目前全球惟一的网站身份认证服务提供商是美国GeoTrust公司,该公司提供的True Site认证和Ture Site认证标志能确保网站不可能被全部假冒,假冒网站不可能有Ture Site认证标志,因为此标志是动态实时生成的,是不可能被假冒和抄袭的。

。。误区三:

。。选择SSL数字证书(SSL证书)颁发机构的误区

。。目前国内各种数字证书颁发机构有近百家,网站应该根据自己的业务需要正确选择数字证书颁发机构。对于面向国际市场和希望有国际合作的网站(希望国外用户也能正确浏览安全页面的网站),推荐申请支持所有浏览器的全球Web服务器数字证书(如:GeoTrust或VeriSign),此类证书无需要求客户端浏览器下载和安装根证书,使用非常方便。

。。总之,目前国内电子商务和网上购物网站越来越多,而且盗版的银行网站也越来越猖狂,通过互联网的欺骗和盗用行为日益增加,作者认为,对于要求用户输入机密信息的网站,一定要部署SSL数字证书(SSL证书)来确保用户输入的机密信息的安全,保护输入的机密信息不会被泄露,让人们放心地进行网上消费。同时,我们建议所有网站都应该申请认证,让现实世界的真实企业与网络虚拟世界的企业网站实现真正的一一对应关系,让假冒网站没有可乘之机。而对于网上消费者,一定要提高安全防范意识,掌握辨别真伪网站的方法,不给网络犯罪分子有可乘之机。

 
5大技巧 vs 3大误区:SpringBoot接口如何完美防御篡改与重放攻击?
java专栏
12-04 840
通过本文的详细介绍,相信你已经对SpringBoot接口如何设计防篡改和防重放攻击有了深入的理解。5大技巧和3大误区可以帮助你避免常见的安全问题,让你的接口更加安全可靠。😊😊😊如果你有任何问题或建议,欢迎在评论区留言交流哦!👋👋👋希望这篇文章能帮助你在SpringBoot开发中更加得心应手,让你的代码更加优雅和高效。如果你觉得有用,不妨分享给更多的人吧!🎉🎉🎉。
[ 网络协议篇 ] 一篇文章让你掌握什么是 数字证书 ?什么是SSL ?什么是 TLS ?
qq_51577576的博客
12-23 6444
[ 网络协议篇 ] 一篇文章让你掌握什么是 数字证书 ?什么是SSL ?什么是 TLS ? 非常全面,看完之后你会有意想不到的收获
【隧道篇 / SSL】(6.0) ❀ 02. 通过 SSL 访问 IPsec (中) ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
09-02 1万+
  【简介】经常有人问可不可以通过SSL VPN到达某个防火墙,再通过防火墙与防火墙之间的IPsec VPN访问另一台防火墙后的电脑。这是可以做到的!为了做到这个功能,我们先要一步一步学习怎样配置SSL VPN。 配置环境   我们在广州有一台FortiGate 200D防火墙,需要通过SSL VPN远程访问防火墙后的电脑。   ① 通过SSL VPN,我们可以远程连接防火.........
Https的优缺点及特点
此心光明,亦复何言~
06-09 1万+
      大家都知道现在的网站分为两种,一种是传统的http协议,另外一种则是加密的https,其实这两种是一脉相承的,https就是基于http基础上实现的,加入了SSL或者TLS。相对于Https,http简单方便,开发起来也方便,但是却有个重要的缺点。那就是其用户端和客户端之间的数据一旦被抓包,其相关的交互信息就会被泄露,因为在传输中它们是不加密的,相当于在“裸奔”,除非服务器自己对关键信...
trello-访问失败
godme
10-28 5172
一直用的好好的Trello,某天打开它却突然成了这个样子,什么鬼… chrome打开的样子.png 很明显不是翻墙的问题,于是按照提示刷新了几遍,但还是不行,看到它说浏览器的问题,于是跑去FireFox试了试,果然是好的 fireFox好好的 那么问题来了...... That's Why?? google了下原因和解决办法 原因 事实上,它是关于SSL证书问题 - Ch...
SSL是什么?其含义和机制最易理解的解说!
ttyy1112的专栏
07-31 6950
8. PKI - SSL/TLS协议
关于SSL/TLS
罗斌的专栏
07-19 5900
SSL/TLS
SSL证书的常见误区有哪些?
2401_85240355的博客
02-20 980
即使是简单的博客或信息介绍网站,使用SSL证书也能提高网站的可信度,保护用户的信息安全。实际上,随着越来越多的SSL证书颁发机构(CA)的出现,获取证书的流程已经变得更加简洁明了。随着数据的敏感性和隐私保护的需求不断提升,SSL证书(安全套接字层证书)已经成为确保网站安全不可或缺的组成部分。然而,关于SSL证书的误区层出不穷,这使得许多企业和站长在选择和使用SSL证书时感到困惑。本文将深入探讨SSL证书的几个常见误区,帮助您更好地理解SSL证书的重要性以及在互联网安全中的作用。这种看法并不完全正确。
谁说安装SSL证书会拖慢网站?粉碎这8大常见误区
2401_88852881的博客
06-30 600
认准官方的的SSL安全证书,都国际顶级CA机构(发证大佬)授权颁发的,才是安全靠谱有保障!
【达梦数据库管理新手必读】:表存在性检查的三大误区与正确操作
[【达梦数据库管理新手必读】:表存在性检查的三大误区与正确操作](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/0a392e4b326d437297f939c3301376b3~tplv-k3u1fbpfcp-zoom-in-crop-mark:1512:0:0:0.awebp) ...
网络安全的误区.docx
06-09
JonOrbeton警告说:如今黑客采用嗅探器可是越来越完善,能够截获SSLSSL交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻...
STM32温度监测系统:10大设计要点与10大常见误区解析
[STM32温度监测系统:10大设计要点与10大常见误区解析](https://cdn2.hubspot.net/hubfs/2203666/Temperature-sensor-calibration-v1---GER.jpg) # 摘要 本文综述了STM32温度监测系统的设计要点、实践应用及其潜在...
Nginx的SSL通配符证书自动续期
最新发布
唯有热爱 可抵万难
08-13 277
通过以上步骤,即可在 CentOS 系统中使用 Certbot 免费、自动地管理 SSL 证书,包括申请、续期和配置 Nginx。插件时,Certbot 会自动修改 Nginx 配置文件(通常在。适用于需要覆盖所有子域名的场景(如。输出会显示证书路径(通常在。路径,覆盖原有证书配置。
`SHOW PROCESSLIST;` 返回列详解(含义 + 单位)
name_sakura的博客
08-12 307
'app_user''root'IP:端口localhostNULLNULLQuerySleepConnect'Query''Sleep'SleepSleep15350LockedNULLNULLNULL。
windows10的vs2019编译openssl静态库备忘
brk1985的专栏
08-13 77
powershell使用cd命令打开当前源码目录。x64版本使用x64 Native Tools Command Prompt for VS 2019,x86版本使用x86 Native Tools Command Prompt for VS 2019。使用命令nasm系统开始编译,编译完成后使用nasm install 生成的库和头文件等内容拷贝到C:\OpenSSL-static-vs2019。使用中activeperl有些异常提示、缺模块,最后使用了Strawberry Perl。
Linux生成自签名 SSL 证书(适用于测试或内部使用)
不会吉他的肌肉男不是好的挨踢男的专栏
08-11 221
*​​Common Name (CN)**​​: ​​域名或 IP 地址​​(如。​​**Organization Name (O)**​​: 组织名称(如。是密钥长度(推荐 2048 或更高)是生成的证书文件(可分发)。:证书有效期(365 天)。是私钥文件(必须保密)
openssl中,公钥和私钥的区别和作用?
jongden的专栏
08-12 356
公钥像“信箱”,任何人可投递(加密),但只有私钥持有者能取出(解密);私钥像“印章”,仅持有者能盖章(签名),他人可通过印章验证(公钥验签)的真实性。在安全通信场景中(如设备与云端/控制台的加密数据传输、身份认证),合理使用公私钥对可有效保障数据的机密性、完整性和身份可信性,是构建安全系统的核心基础。
NGINX 配置SSL
03-14
<think>好的,我现在要帮用户解决如何配置NGINX以支持SSL证书的问题。用户已经提供了一些引用内容,我需要结合这些信息,整理出一个清晰的步骤指南。 首先,我需要确认用户的需求。他们想知道具体的配置步骤,可能需要从获取证书开始到最终配置完成的整个流程。用户提供的引用中有关于下载证书、目录结构、配置文件的修改以及重新编译或重启Nginx的信息。需要把这些信息整合起来,确保步骤连贯,没有遗漏关键点。 接下来,我要按照逻辑顺序组织步骤。通常,配置SSL的流程是:获取证书,放置到服务器目录,修改Nginx配置文件,测试配置,重启服务。需要检查每个引用中的细节,比如引用3提到在conf目录下新建cert目录存放证书,而引用1中的配置示例展示了server块的配置,包括监听443端口、指定证书和密钥文件路径、SSL协议和加密套件等。引用2则涉及下载证书的步骤,需要指导用户从控制台下载正确的证书文件。 需要注意可能的误区,比如证书文件路径是否正确,权限设置是否恰当,以及是否需要重新编译Nginx(如引用1最后提到的重新编译)。不过,大多数情况下,用户可能已经安装了支持SSL的Nginx,所以可能只需要重启服务。需要分情况说明,或者建议用户先检查是否已安装SSL模块,避免混淆。 此外,用户可能遇到的问题包括证书路径错误、权限问题、配置语法错误等。应该在教程中加入验证配置和检查日志的步骤,帮助用户排查问题。比如使用`nginx -t`测试配置,查看错误日志等。 还要确保使用正确的中文术语,避免技术术语翻译错误。比如“ssl_certificate”应翻译为“SSL证书”,“密钥文件”等。同时,按照用户的系统级指令,行内数学表达式用$...$,但在这个问题中可能用不上,不过要确保LaTeX语法正确,如果有公式的话。 最后,生成相关问题需要考虑用户可能的后续疑问,比如如何续订证书、配置HTTP到HTTPS的重定向、优化SSL配置等。这些相关问题可以帮助用户进一步深入学习和解决问题。 总结步骤: 1. 获取SSL证书:从证书服务商下载Nginx适用的证书文件,通常是.pem和.key。 2. 上传证书到服务器:在Nginx的conf目录下创建cert目录,存放证书文件。 3. 配置Nginx:编辑server块,设置监听443端口,指定证书路径,配置SSL参数。 4. 测试并重启Nginx:使用命令测试配置是否正确,然后重启服务使配置生效。 5. 验证配置:通过浏览器访问HTTPS网址,确保证书正确安装。 需要检查每个步骤是否有引用支持,并正确标注引用来源。例如,证书下载步骤参考引用2,目录配置参考引用3,server块配置参考引用1。同时,注意引用标识的位置,确保用户在阅读时能对应到正确的参考内容。 可能遇到的疑问:是否需要配置HTTP重定向到HTTPS?用户可能希望强制使用SSL,可以在进阶配置中提及,但根据当前问题,主要回答配置SSL的部分,相关问题中可以提出。 现在需要将这些思考转化为结构清晰的中文回答,并按照用户的要求添加引用标识,生成相关问题。确保语言简洁明了,步骤准确无误,用户能轻松跟随操作。</think>### NGINX 配置 SSL 证书教程 以下是配置 NGINX 支持 SSL 证书的详细步骤: --- #### **1. 获取 SSL 证书** - 从证书颁发机构(如阿里云、腾讯云)下载适用于 Nginx 的 SSL 证书文件,通常包含: - **.pem 文件**:证书文件(例如 `xxxx.pem`)[^2] - **.key 文件**:私钥文件(例如 `domain name.key`)[^2] - 若使用免费证书(如 Let's Encrypt),可通过工具自动生成。 --- #### **2. 上传证书到服务器** - 在 Nginx 的 `conf` 目录下新建 `cert` 文件夹: ```bash mkdir /usr/local/nginx/conf/cert ``` - 将证书文件(`.pem` 和 `.key`)上传至 `cert` 目录[^3]。 --- #### **3. 修改 Nginx 配置文件** - 打开 Nginx 配置文件(通常为 `nginx.conf` 或站点配置文件),在 `server` 块中添加 SSL 配置: ```nginx server { listen 443 ssl; # 启用 SSL 监听 443 端口 server_name your_domain.com; # 替换为你的域名 ssl_certificate cert/xxxx.pem; # 证书路径[^1] ssl_certificate_key cert/your_domain.key; # 私钥路径[^1] ssl_session_timeout 5m; # SSL 会话超时时间 ssl_protocols TLSv1.2 TLSv1.3; # 推荐使用 TLS 1.2/1.3[^1] ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; # 加密套件 ssl_prefer_server_ciphers on; # 优先使用服务端加密套件 # 其他配置(如 root、index 等) root /var/www/html; index index.html; } ``` - **可选**:配置 HTTP 强制跳转 HTTPS: ```nginx server { listen 80; server_name your_domain.com; return 301 https://$server_name$request_uri; } ``` --- #### **4. 测试并重启 Nginx** - 检查配置文件语法: ```bash nginx -t ``` - 若显示 `syntax is ok`,则重启 Nginx: ```bash nginx -s reload ``` - 若首次配置 SSL,可能需要重新编译 Nginx 以包含 SSL 模块[^1]: ```bash ./configure --with-http_ssl_module make && make install ``` --- #### **5. 验证 SSL 配置** - 访问 `https://your_domain.com`,确认浏览器地址栏显示锁形图标。 - 使用在线工具(如 [SSL Labs SSL Test](https://www.ssllabs.com/ssltest/))检查 SSL 配置安全性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值