揭開SSL的神秘面紗，瞭解如何用SSL保護資料

隨著網際網路的日益發展，對於使用者共享的關鍵資料的威脅已經產生了嚴重的後果，人們在網路上交換地址、電話號碼、信用卡號、企業機密等各種資訊，網路上的惡意破壞者始終都在伺機窺探，企圖竊取這些重要的資訊。隨著國家不斷地宣傳和普法，越來越多的人對於資料安全意識也在成倍的增長，如果您是網站所有者，那麼保護您的使用者的隱私資訊和敏感資料避免受到網路犯罪分子的惡意攻擊就成為您不可推卸的責任了。

那麼，此時就體現了SSL證書的重要性，接下來請跟我一起由淺入深、抽絲剝繭，慢慢地揭開SSl的神秘面紗，瞭解一下SSL是什麼？又是如何保護資料安全的？

什麼是SSL？

SSL（Secure Socket Layer，安全套階層）是一種保護傳輸資料不受網路不法侵害的協議，SSL證書是證書頒發機構頒發給網站的數字證書，確保使用者的網路瀏覽器和網路伺服器之間交換的所有資訊都是加密的。當您提交任何敏感資訊時，SSL會對您的資料進行加密，保護您的資料免遭惡意竊取或破壞資料的企圖，例如竊聽、中間人攻擊等。

SSL如何保護使用者資料和隱私？

SSL是為了保護資料不受惡意破壞者侵害而出現的。人們用SSL將客戶端和伺服器之間的資料加密並進行認證，以此來保護重要的資料。大家在上網時都可以看到，Web瀏覽器的網址顯示為“https:”的形式，前面有一把上鎖的標記。這表示該網頁已被SSL加密，資料是非常安全的，不會外洩。HTTPS是HTTP over SSL的簡稱，是指對HTTP做了SSL處理。

在未安裝SSL證書時，使用者和伺服器之間的資訊傳輸是明文的，容易被外界擷取，而且對終端使用者來說，他們在瀏覽伺服器時，並不知道這個伺服器、網頁是否真的存在，且如果存在，資訊是否真實可信。

部署SSL證書後，可以透過驗證HTTPS中的SSL證書資訊，確認網站的真實身份，增強使用者識別正確網站資訊，避免使用者點選了假冒網站而上當受騙、透過SSL加密層，也可以對傳輸的資料進行加密和解密，確保資料在傳輸過程中的安全，保障資料的機密性和完整性。

目前，對網站進行HTTPS加密部署SSL證書是最有效的網路安全保護，相較於傳統的HTTP明文協議，HTTPS協議可以確保傳輸資料的完整性和機密性，建立一條從使用者端到網站伺服器端的加密傳輸通道，透過三次握手協議，確保使用者的傳輸資訊不被第三方竊取或篡改。

SSL在保護資料免受侵害的過程中運用了哪些技術？

網際網路在給我們的生活帶來方便的同時，也無形中形成了一個充滿危險的虛擬世界，其中的三大危害就是竊聽、篡改和冒充。此時，SSL就能夠保護資料免受侵害，接下來，我們就來看看，它分別都運用了哪些技術去抵禦這些侵害。

（1）用加密技術防止竊聽

竊聽應該是最容易理解的一種侵害。重要資料如果不加任何處理就公開互動，那麼即使不是惡意破壞者的普通人也會對其中的內容產生好奇吧。SSL將客戶端和伺服器之間的通訊加密，這樣，即使外人竊聽到這些資訊，也無從獲悉其中的具體內容。

（2）用訊息摘要技術檢測資料是否被篡改過

篡改是指資料在傳輸途中被擅自改寫的一種侵害。假設我們在網上訂購了商品，但是如果送貨地址被惡意破壞者改成了他自己的地址，我們就無法收到該商品了。SSL將根據資料計算出的資訊摘要（MD值）和資料本身一起傳送，以此來檢查資料是否被篡改過。節點收到它們之後，將根據資料計算出的資訊摘要和新增的資訊摘要進行比較，看二者是否一致。由於是對同一資料進行同樣的計算，如果雜湊值一樣就說明資料並未被篡改。

（3）用數字證書技術識破冒充

冒充是假扮成通訊物件的一種侵害。資料傳送方並不知道對方是否真的是自己想要傳送資料的物件，通訊可能在不知不覺中就被惡意破壞者劫持，而且這些惡意破壞者還可能冒充本應收到資料的一方。所以，如果不採取任何防範措施，就相當於把重要的資料親自交到壞人手上。因此SSL會利用數字證書去確認對方的身份，其工作原理是，在傳送資料之前要求對方提供自身的資訊，然後根據對方發過來的數字證書驗明正身。

SSL證書有三種型別：

DV SSL證書：指只驗證網站域名所有權的簡易型SSL證書，此類證書僅能起到網站機密資訊加密的作用，無法向使用者證明網站的真實身份。

OV SSL證書是Organization Validation SSL的縮寫，指需要驗證網站所有單位的真實身份的標準型SSL證書，不僅能起到網站機密資訊加密的作用，而且能向使用者證明網站的真實身份。

EV SSL是Extended Validation SSL的縮寫，指遵循全球統一的嚴格身份驗證標準頒發的SSL證書，是目前業界最高安全級別的SSL證書。

我們一般常用的正式是DV SSL證書和OV SSL證書，因為這兩種申請起來相對比較簡單快捷。但是這也是他們的弊端，DV SSL證書僅適合於個人網站或非電子商務網站，由於此類只驗證域名所有權的低端SSL證書不需要驗證已經被國外各種欺詐網站濫用。如果你擔心證書不夠安全或者濫用在欺詐上，在SSL證書中有一種特殊的操作，是可以繫結給SSL證書繫結IP地址。這樣在SSL證書可溯源的情況下，便可預防欺詐。

如何給DVSSL證書和OVSSL證書繫結IP地址？

DVSSL證書：

這種證書只需要驗證IP地址的管理許可權。同時支援多個IP繫結在一起，頒發只需要30分鐘左右。

OVSSL證書：

這種證書企業等單位性質的證書，除了驗證IP的管理許可權之外，還需要驗證企業的身份。當然得到的證書和上面的DVSSL也是不一樣的，頒發需要1-3工作日。

同時公網IP地址作為網際網路入口，使用場景非常地多。只要有網際網路，就需要IP地址。那麼IP地址的安全又要如何保護？例如WEB網站建設，IP地址通常採取的是明文HTTP傳輸協議，這非常不安全，會導致傳輸協議過程中的資料洩露或者劫持。假如我們的IP地址繫結了SSL證書，此IP地址就會被加密。

所以給證書繫結IP地址可以遏制SSL證書的濫用，同時也相當於給IP地址裝上了一層保護傘。

不知道大家在使用的時候SSL證書是，是否遇到過此SSL資訊不受網站信任的提示，這時需要我們進行信任授權。而繫結了IP地址的SSL證書就不會出現不受信任的情況。

SSL證書繫結IP地址，是一個雙贏的局面。既可以保證IP地址的安全，也可以加強SSL證書的可溯源性，有效防止SSL證書的濫用與欺詐。因為我們可以透過此SSL的IP地址準確找到是誰在使用，對於非法SSL證書的溯源更精準有效。

結論：

SSL簡單的三個英文字母縮寫，卻包含著非常多的工作原理和技術，要想徹底看清其廬山真面目，還需要不斷地研究、突破，才能將它發揮到其應有的價值，應用好SSL，才能不讓您的使用者資訊“裸奔”。