在世界范围内,安全套接协议层Secure Sockets Layer(简称SSL)是网络安全的最为基础的安全标准。SSL协议通过加密敏感数据使得真正信息接受者才能阅读相关信息,阻止机密信息、重要数据通过网络泄露出去。与此同时,SSL技术可以使访问网页的客户识别所访问的网站的真实性。目前主流的操作系统、web应用软件及工具均支持该协议。SSL安全加密机制功能是依靠使用数字证书来实现的。安全专家开发了“SSL Certificate”(服务器证书),其功能类似于驾照或护照,由数字认证中心(Certificate Authority 简称CA)对外颁发。
每一个想取得服务器证书的公司或机构均需通过不同的资格审查步骤方可获得该种证书。不同机构颁发、不同等级的服务器证书,其申请审核步骤也不尽相同。拥有了SSL服务器证书,网络上的两个实体,例如一个客户就可以与网站服务器以协商好的安全和认证级别安全的进行数据传送。
尤其是在网络钓鱼、网络欺诈事件频发的现实生活中,无论是在互联网上或在局域网上,敏感机密信息的传输的安全性至关重要。其中在电子商务的案例中,这一问题尤为突出,许多客户由于网站不提供安全的SSL保护而被迫放弃网上交易。
40位或56位,还是128位或256位,加密强度差距大
服务器证书依据加密强度,一般来说我们将其分为两个级别,即低加密等级和高加密等级。低端的加密强度为40位或56位,而高端的加密强度为128位或256位,具体达到的加密强度客户操作系统、浏览器版本、网络服务器的所采用的证书等因素相关。如许多客户的系统不支持128位强度的加密链接,即便服务器证书可以支持128位,客户端也自动降低加密强度,除非他采用了支持SCG技术的服务器证书(强制型),方可实现128位加密强度。
目前只有少数公司如VeriSign可以提供支持SCG技术的数字证书产品。不同加密级别的证书安全性到底有多大差距。我们做个简单的数学题:128位加密强度=288×40位加密强度,约等于(300,000,000,000,000,000,000,000,000)倍40位的强度。也许看到这么大的数字,难免头大。我们再举一个现实的例子,对于加密算法的常用方法是暴力破解(通过计算各种密码变化形式),1997年学生对于40位强度的SSl暴力破解耗费4小时,而目前凭借最高端的计算终端和计算能力这一过程被减少到了几分钟,而同样的方法用在128位加密强度上要耗费一万亿年以上。
如何选择不同加密级别的服务器证书
服务器证书的加密强度在价格也会有比较大的差距,如果你的公司网站上面传输众多机密信息,最好的安全策略是为你的每台服务器配置高端加密强度的服务器证书,以防这些信息以外泄露,造成不必要的麻烦。特别是那些网上零售商、网络金融机构、政府部门等涉及众多公众数据网络传输的公司或机构,保护数据安全责无旁贷,而128位服务器证书(支持型)是最低的选择。但鉴于国内多数客户浏览器版本或操作系统较老,支持SCG技术的128位服务器证书(强制型)可以完全确保加密传输的强度,并且随着客户的版本升级换代,该服务器证书还可以支持256位加密强度。
而对于应用仅仅限于企业内部,并且信息敏感度一般,我们建议可以考虑性128位服务器(支持型)或一些低端服务器证书。随着技术的进步,目前低端加密强度的服务器证书有淡出市场的趋势,在后续维护及服务支持上,在价格相差不大情况下,我们还是建议客户综合衡量性价比,选择价格适中的服务器证书。
