SSL安全證書技術十問

1、 什麼是SSL？

SSL 是一個安全協議，最初是由美國網景 Netscape Communication 公司設計開發的，全稱爲安全套接層協議 (Secure Sockets Layer) 。它採用公開密鑰技術爲傳輸通信提供如下幫助：

1. 信息傳輸的保密性；

2. 數據交換的完整性；

3. 信息的不可否認性；

4. 交易者身份確定性。

換句話說，服務器部署SSL證書後，其核心能就是確保服務器與瀏覽器之間的數據傳輸是加密傳輸的，在數據傳輸過程中不被篡改或被解密。瀏覽器上，用戶可通過“金色鎖型”標記，得知是否已處於SSL安全保護，如果更先進的VeriSign EV SSL證書，那麼除了“鎖型”標記外，瀏覽器的地址欄還會變成綠色。

2、 什麼是SSL證書信任根

數字證書是一種特殊商品，它所傳達的是信賴、可信和安全。而CA數字認證中心是證書的頒發機構，負責檢驗和簽發SSL證書。但全世界有衆多CA機構，技術實力、經營狀況各不相同，如何對這些簽發證書的CA機構進行界定，證書信任根起到了關鍵作用。

目前瀏覽器中，只會根預埋一些擁有強大技術實力的數字認證中心的根證書，例如VeriSign。而對於其他未經驗證的數字認證中心簽發的SSL證書，當用戶在訪問網站時，瀏覽器就會自動彈出安全警示窗口。

3、 什麼是SGC技術

SGC技術(Server Gated Cryptography)是在現有的SSL證書標準基礎上增加的一種增強密鑰用法(EKU)，主要是考慮到2000年以前美國政府對高強度加密算法(128位)出口限制的因素而推出的，由於出口管制的原因，2001年以前推出的瀏覽器版本(如：IE 5)和服務器版本(Windows 2000 server)都只支持56位或40位加密算法，但由於電腦硬件技術和CPU處理速度的快速提高，使得破解40位加密算法只需幾秒鐘，而破解56位加密算法也只需幾天時間。

爲了加強美國以外的國家的電子商務和網上銀行的安全，SSL證書業界就在SSL證書標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU)，也就是說：即使受出口限制的40位或56位瀏覽器或服務器，只要使用支持SGC技術的SSL證書，就能不受限制的實現128位加密。這種強制實現128位高強度加密技術簡稱爲SGC技術。

4、 SSL證書是否會影響到速度和流量

因爲要爲每一個SSL連接實現加密和解密，所以會增加服務器CPU的處理負擔，但一般不會影響太大。但考慮到對於客戶隱私安全的保護，根據相關調查顯示，在重要頁面部署知名品牌的SSL證書，不但不會流失客戶，反而有效促進客戶成交。

爲了更好的利用SSL證書技術，建議可注意以下幾點，緩解服務器負擔：

(1) 僅爲需要加密的頁面使用SSL，如登錄或需要提交客戶數據的頁面，如(https://www.domaincom/login.asp)，不要把所有頁面都使用https://,特別是訪問量最大的首頁；首頁和其他頁面可以通過部署VeriSign動態簽章標誌，提示客戶此網站安全可信。

(2) 儘量不要在使用了SSL證書的頁面上設計大塊的圖片文件和其他大文件，儘量使用簡潔的文字頁面。並通過文字或VeriSign動態簽章標誌提示消費者，頁面處於SSL證書安全保護狀態。

如果網站交易量或訪問量異常龐大，天威誠信建議客戶可購買SSL加速卡來專門負責SSL加解密工作，這樣可完全不增加服務器任何負擔。此外，增加服務器也是一個不錯的選擇。

5、 crt、cer、key、der、pem分別是什麼格式證書文件

證書文件的擴展名只是一種使用習慣上的區別。在apache下，習慣用crt作爲證書文件擴展名，在IIS等一些平臺下，則習慣用cer作爲證書文件的擴展名。Key則通常是私鑰文件的擴展名。而pem則是包括crt、cer、key、der等文件，或者將多個文件粘貼到一塊的統稱。

6、 SSL證書做雙向認證是否需要安裝第三方的插件

常用的webserver 中間件都會有支持客戶端認證的功能，配置SSL證書只需要修改配置文件便可以啓用客戶認證的功能,而不需要安裝第三方的插件。

7、 託管服務器，是否可以安裝SSL證書

99%以上的服務器和客戶端瀏覽器都是支持SSL。虛擬主機一般也可以安裝應用服務器證書，但具體能否安裝服務器證書還要看服務提供商是否提供該服務。一般獨享的主機服務提供商會給予完全管理權限，可以直接安裝服務器證書。如果是多人共享的主機，通常也可以通過和服務提供商溝通，購買獨立IP，或購買SSL許可的方式來安裝SSL證書。

8、 如果服務器換了IP地址，原來的SSL證書是否還能使用？

一般SSL證書都是綁定域名的，服務器更換IP地址不會有任何影響。只要域名不變，原來的SSL證書當然照樣可以用，重新解析到新的IP地址即可。但如果您申請的SSL證書是爲IP地址申請的，則服務器換了IP地址，原來的SSL證書就不能用了。所以，要根據業務情況需要決定是爲您的網站域名還是IP地址來申請證書。

9、 如果改變了硬件、軟件（web server），SSL證書是否需要重新申請？

SSL服務器證書與硬件無關，如果系統和web server版本相同，也不會有任何影響。但如果改變了服務器軟件，證書就要重新申請。因爲SSL服務器證書不可以更換平臺使用。

10、 IIS上如何在同一個站點上請求多張證書，或更新、更換證書

微軟IIS 6.0中，每一個網站只允許同時發出一個CSR請求。如果在已有的請求之上重新創建一個新的CSR請求，原始請求（和私鑰）將被覆蓋。所以在正式提交CSR請求後，請不要在原有站點上對服務器做證書方面的配置。

如果要爲同一個站點請求多張證書，或更新、更換證書，可以先創建一個臨時站點，在臨時站點上做證書的請求操作。在證書正確安裝到臨時站點上之後，則可以刪除該臨時站點，並在正式的站點上用“指派現有證書”或“替換當前站點證書”的方式來切換證書的應用。