了解 SSL 证书类型
Understanding SSL Certificate Types
我正在构建我的第一个网络应用程序,我有两个关于安全性的问题。
我将通过 POST 向我的请求发送和接收非常敏感的数据
api 将托管在 Azure 或 AWS 上。我可以发送和接收吗
SSL 上的明文数据安全吗?我可以访问我的
https 上的天蓝色网站,它是否足够安全,还是我应该购买另一个
SSL 证书?
我搜索了一下,有不同类型的 SSL
证书,我读过一些证书提供绿色挂锁或绿色地址栏,但我不需要这些东西,因为我的网络应用程序只
将可用于我的移动应用程序,并且没有内容可供浏览。只有一页包含指向我的移动应用程序的下载链接,以防有人找到该网站。那么对于我的情况,所有证书在同一级别都是安全的吗?
P.S。如果相关,我不会添加自定义域名。
一次回答一个问题;
SSL 的现代实现通常被认为很漂亮
坚如磐石;它被银行、医疗机构和主要机构使用
互联网公司。通过 SSL 以明文形式发送数据是
对于这些应用程序来说足够安全,并试图用
您自己的加密方案几乎肯定比其价值更麻烦。
您可能应该获得自己的 SSL 证书;我不知道 Azure 对 https 访问有什么限制(如果有的话),并且依赖您无法控制的密钥总是不好的做法。
SSL 依赖于信任网络;浏览器(和其他互联网应用程序)验证站点发送给它们的证书
一组受信任的权威机构。如果证书已被批准
(用授权机构的私钥签名),浏览器接受
证书为真品并使用它来协商 SSL 连接
与该网站没有进一步的投诉。这就是那个绿色
padlock/address 栏表示;网站提供了有效的
由浏览器信任的权威机构签署的证书。这不
意味着签名证书本质上比
但是,未签名的证书。两者都使用相同的密码
算法,并且(可以)具有相同长度的密钥,以及 SSL
每个人都可以建立的连接同样安全。区别
两者之间是你无法验证一个的 "authenticity"
unsigned/self-signed证书;攻击者可以拦截
连接并用自己的证书替换未签名的证书
证书,浏览器将无法判断它是否获得
正确的证书与否。你可以在你的
但是,应用程序使用一种称为“certificate
固定”。
本质上,您将证书的 public 密钥打包为
你的申请,你的申请只接受证书
建立连接时与该密钥关联。
最终,这取决于您的攻击者模型。您是否在保护这些数据免受犯罪分子和临时窃听者的侵害?还是您试图向政府监视和情报机构隐藏它?对于前者,由信誉良好的机构签署和颁发的 SSL 证书绰绰有余。对于后者,您必须考虑您的证书来自哪里,以及谁可以访问颁发它的根 CA;生成您自己的方案并在 SSL 之上设计一些进一步的方案可能会更好。
我正在构建我的第一个网络应用程序,我有两个关于安全性的问题。
我将通过
POST向我的请求发送和接收非常敏感的数据 api 将托管在 Azure 或 AWS 上。我可以发送和接收吗 SSL 上的明文数据安全吗?我可以访问我的https上的天蓝色网站,它是否足够安全,还是我应该购买另一个 SSL 证书?我搜索了一下,有不同类型的 SSL 证书,我读过一些证书提供绿色挂锁或绿色地址栏,但我不需要这些东西,因为我的网络应用程序只 将可用于我的移动应用程序,并且没有内容可供浏览。只有一页包含指向我的移动应用程序的下载链接,以防有人找到该网站。那么对于我的情况,所有证书在同一级别都是安全的吗?
P.S。如果相关,我不会添加自定义域名。
一次回答一个问题;
SSL 的现代实现通常被认为很漂亮 坚如磐石;它被银行、医疗机构和主要机构使用 互联网公司。通过 SSL 以明文形式发送数据是 对于这些应用程序来说足够安全,并试图用 您自己的加密方案几乎肯定比其价值更麻烦。 您可能应该获得自己的 SSL 证书;我不知道 Azure 对 https 访问有什么限制(如果有的话),并且依赖您无法控制的密钥总是不好的做法。
SSL 依赖于信任网络;浏览器(和其他互联网应用程序)验证站点发送给它们的证书 一组受信任的权威机构。如果证书已被批准 (用授权机构的私钥签名),浏览器接受 证书为真品并使用它来协商 SSL 连接 与该网站没有进一步的投诉。这就是那个绿色 padlock/address 栏表示;网站提供了有效的 由浏览器信任的权威机构签署的证书。这不 意味着签名证书本质上比 但是,未签名的证书。两者都使用相同的密码 算法,并且(可以)具有相同长度的密钥,以及 SSL 每个人都可以建立的连接同样安全。区别 两者之间是你无法验证一个的 "authenticity" unsigned/self-signed证书;攻击者可以拦截 连接并用自己的证书替换未签名的证书 证书,浏览器将无法判断它是否获得 正确的证书与否。你可以在你的 但是,应用程序使用一种称为“certificate 固定”。 本质上,您将证书的 public 密钥打包为 你的申请,你的申请只接受证书 建立连接时与该密钥关联。
最终,这取决于您的攻击者模型。您是否在保护这些数据免受犯罪分子和临时窃听者的侵害?还是您试图向政府监视和情报机构隐藏它?对于前者,由信誉良好的机构签署和颁发的 SSL 证书绰绰有余。对于后者,您必须考虑您的证书来自哪里,以及谁可以访问颁发它的根 CA;生成您自己的方案并在 SSL 之上设计一些进一步的方案可能会更好。