服务
关于
CloudProse博客

2016年3月21日星期一

作为我们帖子的后续 HTTPS无处不在,今天我们将讨论SSL江苏体彩背后的一些历史以及为什么它们似乎要花那么多钱。我们还将深入介绍SSL江苏体彩的当前情况以及如何通过以下方式获取免费的域验证江苏体彩 AWS江苏体彩管理器让我们加密.

SSL江苏体彩概述

在1970年代后期,麻省理工学院的Ron Rivest,Adi Shamir和Leonard Adleman开发了一种算法,该算法产生了我们现在所说的核心组件之一 公钥基础设施 (或PKI)。 PKI是用于创建,存储和分发数字江苏体彩的系统,以实现通过不安全网络的安全通信。您可能无法识别这些名称,但是您可能会识别它们开发的算法(RSA –它们每个姓氏的第一个字母)以及随后创建的公司– RSA Data Security。

RSA协议(用作SSL协议的一部分)利用非对称加密和公私钥对来安全地交换对称密钥。非对称加密允许任何客户端使用服务器的公钥加密数据。使用公用密钥加密数据时,只能使用安全地驻留在服务器上的相应专用密钥解密数据。非对称加密的问题在于它非常耗费资源。这就是为什么公私钥对仅用于安全交换对称密钥的原因。对称密钥(例如AES 256位)实际上是用于加密会话的密钥,但是必须存在共享此对称密钥的安全机制。这些技术允许使用安全的HTTPS协议,该协议为Netscape在1994年制定原始规范时为Internet爆炸奠定了基础。

鉴于这项技术是很久以前创建的,现在只是免费数学,为什么SSL江苏体彩不免费?组织通常每年花费数百至数千美元来保护其域,但是成本从何而来呢?任何人都行 生成SSL江苏体彩 免费以允许加密会话。实际成本来自以下事实:第三方必须数字签名SSL江苏体彩才能提供正确的身份验证。这是[江苏体彩颁发机构](//en.wikipedia.org/wiki/CertificatePKI的另一个关键组成部分(CA)发挥了作用(例如Symantec,GoDaddy和DigitCert)。 CA使用其根江苏体彩对其他购买的江苏体彩进行签名,以作为来自受信任的第三方的证据,证明您确实确实拥有要保护的域。任何人都可以生成自签名江苏体彩来加密会话,但是,如果无法验证另一端的服务器,则加密本身的价值就不那么高。如果没有来自第三方(如Symantec)的签名SSL江苏体彩(江苏体彩中的域与浏览器的目标域名相匹配),您将在Chrome中看到以下消息,并在地址栏中看到带划线的https:

待办事项:添加ALT
待办事项:添加ALT

总而言之,当您购买SSL江苏体彩时,实际上并没有购买任何类型的专利技术。您需要为某个第三方组织付费,以证明域实际上确实属于您,这一事实使最终用户可以信任您的网站。如果没有这种验证,攻击者可能会在公共Wi-Fi网络上进行中间人攻击,从而创建了一个伪造的paypal.com网站来窃取您的凭据。

免费SSL!

现在,为域验证(DV)SSL江苏体彩付费的江苏体彩颁发机构已经正式成为历史!今年早些时候,亚马逊 宣布了AWS江苏体彩管理器,这使客户可以轻松地免费将SSL江苏体彩免费提供给Elastic Load Balancer(ELB)和CloudFront发行版。这是一个非常简单的过程,不仅可以节省SSL江苏体彩的年度费用,还可以节省时间。管理员不再需要生成CSR并在服务器上安装SSL江苏体彩,从而解决了不可避免的错误。所有关联的任务都直接从AWS管理控制台完成(与往常一样,还可以选择使用API​​),并且AWS甚至负责江苏体彩续订!在这种情况下,亚马逊将充当江苏体彩颁发机构,并使用其根江苏体彩来签署其客户的江苏体彩。有人猜测 上个夏天 他们正在申请成为CA,但是没人知道他们会免费赠送江苏体彩!

这在大多数情况下都可以正常工作,但是江苏体彩不能直接下载,这意味着它们不能安装在实际服务器上。您必须将流量定向到ELB,在此处终止SSL,然后再定向到最终服务器。那么,为什么客户不将AWS江苏体彩管理器用于DV SSL江苏体彩?如果没有ELB,则将其添加到您的环境中的成本最低(约20美元/月)。一些客户对端到端加密有合规性要求,这意味着当SSL在ELB终止并以解密状态传输到最终服务器时,他们将不合规。在这种情况下,将不会选择AWS江苏体彩管理器。这是哪里 让我们加密 进来…

去年,我们在帖子中简要提到了Let's Encrypt的发展 HTTPS无处不在,在其中,我们回顾了为什么即使出于商业目的而不必加密的情况,也应该保护所有网站的安全。 让我们加密允许组织通过自动执行验证过程来获得免费的SSL江苏体彩,该过程允许组织确认域的所有权。与AWS江苏体彩管理器一样,江苏体彩可以连续更新。它于2015年11月发布,获得了广泛的采用和成功。在大约4个月内,让我们加密 宣布 他们的百万分之一SSL江苏体彩的发行!

因为它易于实施,所以我们建议在已经使用ELB并且不需要端到端加密的情况下使用AWS江苏体彩管理器。对于所有其他情况,“加密”是一个不错的选择。结合使用两者,组织就无需再为域验证江苏体彩付费!

那么,CA商业模式会死吗?好吧,不完全是。请记住,这些免费江苏体彩仅是域验证江苏体彩。一些组织(如银行)更喜欢扩展验证(EV)江苏体彩,该江苏体彩允许在浏览器中使用“绿色横条”(这表示更高的安全性,但就数学而言,肯定不是这种情况)。 EV江苏体彩确实需要CA进行更长且更彻底的验证过程(以验证域所有权),因此,根据定义,这种类型的江苏体彩验证过程将永远不会实现自动化(因此永远不会免费)。就是说,DV江苏体彩的业务模型肯定会很快消失!

请随时与我们联系 [email protected] 对保护您的AWS基础设施有任何疑问。

作者
乔什·冯·绍姆堡精选
乔什·冯·绍姆堡