SSL證書的資料結構，SSL的體系結構

SSL 證書的資料結構通常遵循證書標準，該標準定義字段以及資料在證書中的組織方式。 以下是SSL證書的一般資料結構：

證書版本：證書的版本號。

序列號：唯一標識證書的序列號。

簽名演算法 ID：表示用於對證書進行簽名的演算法 ID。

頒發者：證書頒發機構 （CA） 的標識資訊，包括頒發機構的名稱和頒發機構的唯一識別符號。

到期日期：證書的有效期，包括證書的開始日期和結束日期。

主體：證書所屬實體的身份資訊，通常是證書申請人（伺服器或客戶端）的名稱和其他標識資訊。

公鑰：證書持有者的公鑰，用於加密和金鑰協議過程。

擴充套件字段：包含一些附加資訊（如主題備用名稱、金鑰用途、擴充套件金鑰用途等）的可選擴充套件字段。

簽名演算法：用於對證書進行簽名的演算法。

簽名值：證書頒發機構使用其私鑰對證書內容進行簽名的結果。

證書。

版本。

序號。

演算法 ID。

發行。

有效期。

不早於有效的開始日期。

不在生效終止日期之後。

主題使用者。

主題公鑰資訊

公鑰演算法。

主題公鑰。

頒發者唯一識別符號（可選）。

使用者唯一識別符號（可選）

extensions（可選）擴充套件。

證書簽名演算法。

證書簽名。

SSL的架構由兩個協議子層組成，其底層是SSL記錄協議層; 上層是 SSL 握手協議層。 SSL協議棧如圖所示，陰影部分是SSL協議。

SSL記錄協議層的作用是為更高階別的協議提供基礎的安全服務。 SSL記錄協議是專門為HTTP協議設計的，它使超文字傳輸協議HTTP能夠在SSL中執行。 記錄封裝了各種高階協議，備份實現了與安全服務相關的特定操作，如MAC的壓縮和解密、加解密、計算和驗證等。

SSL握手協議層包括SSL握手協議、SSL更改密碼規範協議、應用程式資料協議和SSL告警協議。 握手層的這些協議用於交換SSL管理資訊，允許應用程式協議對相互傳輸的資料進行身份驗證，協商加密演算法，生成金鑰等。 SSL握手協議的作用是協調客戶端和伺服器的狀態，使雙方能夠實現狀態同步。

為了考慮瀏覽器相容性，通常使用以下 BAI 演算法：

加密演算法：du

zhirsa

雜湊簽名演算法：SHA256

加密位數：2048

最近，DAOECC演算法也比較普遍，主要優點是讀取速度更快，但相反，瀏覽器支援率下降了，首先IE7，IE6肯定是不支援的，甚至IE8也不支援。

常用號碼。

有三種主要的簽名複製演算法：RSA、Baidsa 和 ECDSA。

RSA數字簽名演算法：RSA是計算機密碼學中的經典演算法。 它也是目前應用最廣泛的DAO數字簽名演算法;

DSA代表數字簽名演算法，DSA只是一種演算法，而RSA的不同之處在於它不能用於加密和解密，也不能用於金鑰交換，只能用於簽名，所以它比RSA快得多，它的安全性與RSA相似。

ECDSA：ECDSA用於數字簽名，是ECC和DSA的結合，整個簽名過程與DSA類似，只是簽名中採用的演算法是ECC，最終簽名值也分為R、S。 ECC（橢圓曲線密碼學）是一種橢圓曲線密碼學。

現代密碼學根據金鑰型別分為兩類：對稱密碼學（金鑰密碼學）和加權非對稱密碼學（公鑰密碼學）。

對稱金鑰加密使用相同的金鑰進行加密和解密，通訊雙方都必須獲取金鑰並保守金鑰機密。 非對稱金鑰加密系統中使用的加密金鑰（公鑰）和解密金鑰（私鑰）是不同的。

對稱加密演算法用於對敏感資料和其他資訊進行加密，常用的演算法包括：

DES（Data Encryption Standard）：一種高速的資料加密標準，適用於對大量資料進行加密。

三重DES（triple DES）：基於DES，一條資料用三個不同的金鑰加密三次，更強。

AES（Advanced Encryption Standard）：高階加密標準，是速度快、安全等級高的下一代加密演算法標準。

常見的非對稱加密演算法如下：

RSA：RSA發明的是一種支援可變長度金鑰的公鑰演算法，需要加密的檔案塊的長度也是可變的;

DSA（Digital Signature Algorithm）：數字簽名演算法，是一種標準的DSS（Digital Signature Standard）;

ECC（橢圓曲線密碼學）：橢圓曲線密碼學。

演算法主要有四種型別：

常用的對稱加密演算法如下：

演算法的優勢和劣勢。

AES-128-GCM 支援複雜的 Mac 實現，並且比 CBC 慢。

AES-128-CBC 易於實施且執行速度快，不支援 Mac 功能。

RC4 實施簡單，執行速度快，安全性低，並且已被驗證為不安全。

Chacha20-Poly1305 專為移動終端而開發，執行速度快，上市時間短。

AES-GCM是一種常用的資料包加密演算法，但它的缺點是計算量大，導致高效能和功耗開銷高。 為了解決這個問題，英特爾推出了乙個名為 AES NI（高階加密標準新指令）的 X86 指令擴充套件，為 AES 提供硬體支援。 對於支援AES NI指令的裝置，使用AES-GCM無疑是最佳選擇。

對於移動裝置，谷歌開發的chacha20-poly1305是最佳選擇。

Chacha20-Poly1305 是 Google 針對移動 CPU 優化的一種新的流加密演算法，其效能比普通演算法高出 3 倍，尤其是在 CPU 集較少的 ARM 平台上（在 ARM v8 之前更是如此）。 chacha20 是指對稱加密演算法，poly1305 是指身份驗證演算法。 使用這種演算法，可以減少加解密產生的資料量，可以改善使用者體驗、減少等待時間、節省電池壽命等。

由於其精簡的演算法、強大的安全性和強大的相容性，谷歌目前致力於在移動終端上推廣它。

目前提供SSL證書的訂閱、管理、部署等功能。 與國際頂級CA機構合作，證書種類豐富，操作流程簡單方便，為使用者提供一站式HTTPS安全解決方案。 免費版SSL證書可在1小時內購買並簽發，付費版OV和EV SSL證書可在3天內購買並簽發。

並且SSL證書部署可以一鍵完成，整個站點的HTTPS服務可以立即啟用。

SSL證書的單網域名稱版本、多網域名稱版本和萬用字元版本的區別：請根據自己的情況選擇乙個網頁鏈結，最好了解每個證書，當然，如果是國際化的，則需要使用信任率高的品牌代理。

首先，根據加密級別，驗證方法分為三種：

DV網域名稱證書：僅驗證網域名稱所有權;

根據網域名稱的不同，分為以下幾種：

單網域名稱證書：可以保護有和沒有 www 的 TLD，或保護子網域名稱;

多網域名稱證書：該證書一般預設可以保護3-4個網域名稱，這樣就可以通過付費來增加;

萬用字元證書：保護主網域名稱和主網域名稱下的所有子網域名稱。

SSL證書分為網域名稱證書、組織證書和擴充套件證書三種，如何選擇往往取決於應用場景。

常用的SSL證書主要有網域名稱驗證（DV）、組織驗證（OV）和擴充套件驗證（EV），分為單網域名稱證書、多網域名稱證書和萬用字元證書。 從字面意思來看，我們也可以大致理解為，乙個網域名稱證書只供使用者只有乙個網域名稱，乙個網域名稱對應乙個證書。 通常用於更簡單的**。

乙個多域證書可以保護多個不同的網域名稱，證書支援的網域名稱數量因證書頒發機構而異。 另一方面，萬用字元證書是涵蓋根域或主機名上所有內容的型別，最重要的是它將包括所有子域。

SSL證書是一種數字證書，類似於駕照、護照和營業執照的電子副本。 因為它是在伺服器上配置的，所以它也被稱為 SSL 伺服器證書。 SSL證書由可信數字證書頒發機構（CA）（如GlobalSign、WoSign）在驗證伺服器身份後頒發，具有伺服器認證和資料傳輸加密等功能。

SSL 證書由 Netscape Communication 通過在客戶端瀏覽器和 Web 伺服器之間建立 SSL 安全通道 （SSL） 來設計和開發。 該安全協議主要用於為使用者和伺服器提供身份驗證; 加密和隱藏傳輸的資料; 確保資料在傳輸過程中不被更改，即資料完整性，現在是該領域的全球標準。 由於SSL技術已經建立到各大瀏覽器和Web伺服器程式中，只需要安裝伺服器證書即可啟用該功能），即可以啟用SSL協議，實現客戶端和伺服器之間資料資訊的加密傳輸，防止資料資訊洩露。

雙方傳輸的資訊的安全性得到保證，使用者可以通過伺服器證書驗證他正在訪問的**是否真實可靠。 數字簽名，又稱數字標識和印章（即數字證書、數字身份證），在網際網絡上提供一種身份驗證方法，是用於標記和證明網路通訊雙方身份的數字資訊檔案，類似於日常生活中的駕照或身份證的概念。 數字簽名主要用於安全的線上電子交易活動，如傳送安全電子郵件、訪問安全網站、線上競價投標、線上簽名、線上訂購、安全線上檔案傳輸、線上辦公、線上支付、線上納稅和線上購物。