数字证书最初设计用于帮助认证、提供不可否认性,有时还用于确保书面通信的完整性和机密性。它们当然成为了保护基于互联网的交易安全的流行。
今天有些人理所当然的是,数字证书是内在任何基于web的事务,因此交易安全。但这些交易安全吗?顺便说一下,我纠正一下——我刚刚对10个经常在互联网上进行电子交易的人做了一个快速的调查,其中一人甚至知道数字证书的存在。
下面介绍一下什么是数字证书以及它们是如何工作的。数字证书是电子文档,很像护照的电子版本。事实上,它们包含非常相似的锅炉板信息的所有者和发证机构的证书。发行者希望是一个证书颁发机构,类似于护照的签发国,它得到广泛认可,每个人都对其完全信任。
数字证书还包含一个只有证书所有者和发布者知道的秘密。这个秘密叫做私人密码。证书颁发机构还为每个证书持有者发布一个公钥或密码。仅一起使用的公钥和私钥都可以解锁由其中一个密钥加密的秘密。
例如,如果Bob想向Sally发送机密电子邮件,那么Bob将用Bob的私钥加密电子邮件,然后再用Sally的公钥加密电子邮件。Sally会用Bob的公钥和她的私钥来解密Bob的电子邮件。鲍勃的公钥才能解密邮件从鲍勃,和莎莉的私钥才能解密邮件与她的公钥加密。因此提供了保密性和相当强的发送方身份验证。
另一个例子。如果鲍勃想向许多人发送一封公开电子邮件,但需要每个人都确保鲍勃是发送者,那么鲍勃将使用他的私钥进行加密,而接收电子邮件的任何人将使用鲍勃的公钥解密并读取它。Bob一定是发送方,因此在某种程度上提供了发送方的身份验证。
网上供应商使用数字证书与SSL协议为其加密算法,以保护每个事务的有效性、完整性和保密性。任何游客有效担保e-transaction网站应该能够查看相关数字证书包括散列算法的细节用来保护他们的事务。在本例中,验证只进行一个方向;只有交易网站才会对访问者确定自己的身份。
呵!SSL崩溃
我们可能都读过最近的SSL证书验证问题源于一个散列算法。这不是第一个问题SSL。里面有个怪人2009.而在2008。等等。每当出现问题时,就会有人找到解决方案,比如改变哈希算法。
无论业界使用SSL还是TLS,都无疑会出现安全漏洞和补救措施。
最大的问题是如何采取合理的预防措施来防止SSL崩溃。下面是一个简单的预防SSL检查列表。
*做verify你正在访问的URL是你所期望的,而不是一个类似的带有斜杠和星号的URL,它们不属于那里。
*如果有疑问,打电话给供应商或网站。
*有否花时间核实数码证书在一个网站上。
*如果有疑问,研究一下证书权威。
*请记住,不是web站点的所有部分都使用SSL进行保护。用户可能会误入网站不受保护的区域。
有一个安全的星期。