SSL 為伺服器上使用的加密系統,用來確保透過「全球資訊網」傳輸資訊的私密性。 啟用 SSL 的伺服器在傳送敏感資料給從屬站之前,會先將敏感資料加密成密碼文字,即使資料在傳送途中被截取,第三者也無法讀取資料。從屬站收到來自伺服器的資料後,必須先將密碼文字解密才能讀取資料。在 Web 伺服器上使用 SSL,有助於確保從屬站(例如 Web 瀏覽器)與伺服器(例如 Web 伺服器)之間傳輸的資訊保持私密性,而且可讓從屬站鑑別伺服器的身份。
要讓伺服器和從屬站使用 SSL 來進行安全通信,伺服器必須具備公開/私密金鑰組合及憑證。 伺服器使用其私密金鑰來簽認給從屬站的訊息。伺服器會傳送它的公開金鑰給從屬站,以便從屬站驗證已簽認的訊息是否確實來自該伺服器,並且可以把要傳給伺服器的訊息加密,伺服器再使用其私密金鑰來解密。
如果要傳送公開金鑰給從屬站,伺服器需要 CA 發出的憑證。此憑證包含伺服器的公開金鑰、與伺服器憑證相關的「區別名稱」、憑證的發出日期或序號,以及憑證到期日。
「憑證管理中心 (CA)」是一個負責發出憑證且具公信力的第三者 (或指定的內部認證中心)。 CA 可驗證伺服器的區別名稱,並用它的私密金鑰以數位化方式簽認憑證; 伺服器的公開金鑰可用來確定憑證的有效性。簽認的憑證可將伺服器的區別名稱連結到一對電子金鑰,透過這對電子金鑰來加密及簽認數位資訊。憑證本身是透過憑證管理中心的私密金鑰來簽認,以驗證伺服器的確實身份。
如果要在安全 SSL 模式下操作 Web 伺服器,首先您要從憑證管理中心為您的系統 取得一個已簽認的憑證。VeriSign, Inc. 是憑證管理中心的公司之一。不過,您可使用任何憑證管理中心所發行之適當格式的簽署憑證。
當您設定安全連線時,您的公開金鑰必須與數位式簽名的憑證有關,而且這個憑證是來自被指定為伺服器具公信力的 CA 之憑證管理中心 (CA)。
憑證相關資訊 - http://digitalid.verisign.com/
本節提供安全性概念的總覽。
隨著網際網路上電子商務的快速成長,安全網路通信的需求也越來越大。 此外,透過專用網路的公司內部通信通常含有必須受保護的機密資訊。
安全網路通信具有下列性質:
資源只能由授權團體存取及保護。 以密碼、IP 位址、主電腦名稱或 SSL 從屬站鑑別為基礎的存取限制,可確保存取控制權。
您認識通話的對方而且相信那個人。 使用數位簽章及數位憑證的鑑別可確保確實性。
訊息在傳輸後沒有改變。若缺少資訊完整性,則無法保證您傳送出去的訊息與對方收到的訊息是一樣的。 數位簽章可確保完整性。
交易期間交易雙方彼此傳遞的資訊保有私密性,即使落入它人之手也無法被讀取。 加密可確保私密性與機密性。
加密的最簡單形式是將訊息混雜,除非接收者收到之後將它解密,否則無法被讀取。 傳送者使用演算方式 (或金鑰) 來混雜 (或加密) 訊息。 接收者具有解密金鑰。加密可確保透過網際網路傳送的私密性與機密性。
透過不對稱金鑰,您可以建立一組金鑰對。此金鑰對是由一個公開金鑰與一個私密金鑰所組成,兩者互不相同。 私密金鑰擁有的秘密加密組合比公開金鑰更多。您的私密金鑰不能與任何人分享。
伺服器使用其私密金鑰來簽認給從屬站的訊息。伺服器會傳送它的公開金鑰給從屬站,以便從屬站將訊息加密傳給伺服器,伺服器再使用其私密金鑰來解密。 唯有您可以解密使用您公開金鑰加密的訊息,因為只有您才有私密金鑰。 金鑰對儲存在受密碼保護的金鑰資料庫中。
對稱金鑰遵循傳送者與接收者共用某種型樣的老舊模式。 傳送者加密訊息與接收者解密訊息,皆使用同一型樣。
對稱金鑰所涉及的風險是,與您要通信的人共用您的秘密金鑰時, 您必須尋找一個安全的傳送方法來使用。
「安全 Socket 層 (SSL)」通信協定使用不對稱與對稱金鑰交換。 不對稱金鑰用於 SSL 交握式。 交握式期間,使用接收者公開金鑰加密的主要金鑰,會由從屬站傳遞到伺服器。 從屬站與伺服器可使用此主要金鑰來製作屬於自己的階段作業金鑰。 階段作業金鑰可用來加密及解密剩餘階段作業的資料。 在使用密碼規格 (或加密層次) 交換期間,會使用對稱金鑰交換。
如果要傳送公開金鑰給從屬站,伺服器需要一個數位憑證。 此憑證是由驗證伺服器區別名稱的 CA 所發出。
相關資訊:
鑑別是指用來驗證區別名稱,讓您確定它人真正身份的處理程序。 以下是伺服器使用鑑別的兩種方法:
數位簽章是確保責任的一種唯一數學運算式簽章。 數位簽章類似貼有您相片的信用卡。如果要驗證傳送訊息給您的那個人之區別名稱,您可查看該傳送者的數位憑證。
數位憑證 (或數位 ID) 就像有一張您與銀行總裁合照的信用卡。 特約商家更加信任您,不僅是因為您本人看起來像信用卡上面的相片,更因為銀行總裁信任您的關係。
您對於傳送者確實性的信任是根據您是否信任認證傳送者的第三者 (個人或機構)。 發出數位憑證的第三者稱為憑證管理中心 (CA) 或憑證簽認者。
數位憑證包含:
輸入您的「區別名稱」作為要求憑證的一部份。數位式簽認的憑證不僅包括您自己的「區別名稱」,也包括 CA 的「區別名稱」。
您可以要求下列其中一項憑證:
CA 會連帶一起廣播它們的公開金鑰和「區別名稱」,讓使用者新增它們到自己的 Web 伺服器和瀏覽器作為具公信力的 CA 憑證。當您從某個 CA 指定公開金鑰和憑證作為具公信力的 CA 憑證時,這表示您的伺服器會信任擁有來自該 CA 的憑證的任何人。 您可以將許多具公信力的 CA 當作伺服器的一部份。HTTP Server 包括數個預設之具公信力的 CA 憑證。必要時, 您可以利用伺服器附帶的「IBM 金鑰管理公用程式」來新增或移除具公信力的 CA。
為了進行安全通信,傳輸中的接收者必須信任發出傳送者憑證的 CA。 無論接收者是 Web 伺服器或瀏覽器都一樣。當傳送者簽認訊息時, 接收者必須擁有對應的 CA 簽認憑證,以及指定為具公信力的 CA 憑證之公開金鑰。
相關資訊:
「公開金鑰基礎建設 (PKI)」是一個由數位憑證、憑證管理中心、註冊管理中心、憑證管理服務程式以及 X.500 目錄所構成的系統,它們驗證每一個涉及網際網路交易的團體之身份和權限。這些交易可能是金融方面或涉及需要身份驗證的任何作業, 例如確認提案投標來源或電子郵件訊息作者。
PKI 支援使用憑證廢止清冊 (CRL)。憑證廢止清冊是一份包含已廢止憑證的清單。 CRL 提供更廣域的方法,藉由憑證來鑑別從屬站的區別名稱,也可用來驗證具公信力的 CA 憑證的有效性。
CRL 與具公信力的 CA 憑證皆儲存及擷取自 X.500 目錄伺服器。 用於儲存及擷取 X.500 目錄伺服器資訊的通信協定: 「目錄存取通信協定 (DAP)」及「輕裝備目錄存取協定 (LDAP)」。 HTTP Server 支援 LDAP。
由於資訊可透過網際網路及企業內部網路分散到多重目錄伺服器上,因此,組織可以透過中心位置或以分散方式來管理憑證、信任策略及 CRL。 因為具公信力的 CA 可從安全伺服器網路來新增或刪除,不必重新配置每一個伺服器, 所以使得信任策略更具機動性。
相關資訊:
「安全 Socket 層 (SSL)」通信協定是由 Netscape Communications Corporation 所開發。SSL 可以確保從屬站和伺服器之間所傳送資料的私密性。 它可讓從屬站鑑別伺服器的區別名稱。如果要鑑別從屬站的區別名稱,則需要 SSL 版本 3。
一旦您的伺服器具有數位憑證,啟用 SSL 的瀏覽器 (如 Netscape Navigator 和 Microsoft Internet Explorer) 即可利用 SSL 來與您的伺服器進行安全通信。有了 SSL,您即可輕易在網際網路或專用 Intranet 上建立安全型網站。 若瀏覽器不支援透過 SSL 的 HTTP,則將無法使用 HTTPS 來要求 URL。 非 SSL 型瀏覽器不允許送出必須安全送出的套表。
SSL 使用安全交握式來起始從屬站與伺服器之間的安全連線。 交握式期間,從屬站與伺服器對於要用於階段作業的安全金鑰以及要用於加密的演算法達成協議。 從屬站可鑑別伺服器;伺服器也可要求從屬站的憑證。 交握式之後,SSL 被用來加密及解密 https 要求與伺服器回應中所有的資訊,包括:
HTTPS 是組合了 SSL 和 HTTP 的獨特通信協定。您必須指定 https:// 作為連結到受 SSL 保護的文件之 HTML 文件之錨點。 從屬站使用者亦可藉由指定 https:// 開啟一個 URL,來要求受 SSL 保護的文件。
由於 HTTPS (HTTP + SSL) 及 HTTP 為不同的通信協定,而且使用不同的埠 (分別是 443 和 80),您可以同時執行 SSL 及非 SSL 要求。 因此,您可選擇提供資訊給不使用安全性的全部使用者,並僅提供特定資訊給提出安全要求的瀏覽器。 網際網路上的零售公司就是以這種方式讓使用者在沒有安全限制的條件下尋找商品,但是當使用者填寫訂單並傳送它們的信用卡號碼時就使用安全性。
相關資訊: