HTTPS证书为什么要收费?不就生成个电子证书嘛!

证书的类型不同,定价也不同,以下是某服务商的报价:

DV(域名认证) OV(组织认证) EV(拓展认证)
dv-example
ov-example
ev-example

做为消费者,我们会根据自己的需求选择不同类型的证书。同时作为一名折腾爱好者,我又忍不住想了解一下这些CA机构到底干了什么事情?这项证书认证业务利润到底有多高?


所谓好货不便宜。上面证书的价格就是该证书安全级别的直接体现,越贵越安全!试想我拥有一个域名,我只要证明该域名确实是属于我的,并不是第三方坏蛋的,那就来一个DV证书。CA机构只需要简单证明一下就行了。但如果我是一个组织,我不仅要证明我拥有这个域名,还要证明我提供的服务也是和合法注册的,那就来套 OV。那如果我想要证明的更多,我就可以考虑一下EV了。

CA机构也会根据你的不同需求,以及为了做好一个权威的样子,我得有模有样的让你填一些资料,相关证件信息,会特地去到相关的构去确认一下你提供的信息是否真实。基本就是一个大家都认可的信誉良好的中间人。

这样看来,OV, EV确实有一些“跑腿”的工作,是因该付他们一些费用。但DV你总可以免费吧,而且根据目前的认证方法,其有一个方法就是只需要在我的DNS上添加一条相关记录,你们能查到,也就能证明了。整个过程都是自动化的,这也要收我这么多费用?

如果真的是空手套白狼,这么好的肥差,那不因该一抓一大把CA了嘛,可现在确实还没有到这么白热的地步啊,至少我们现在还没看到中国经济风向标-中国大妈们活跃在这一块。那是不是我们错怪他们了?

动手之前,不如咱们冷静下来把事情的经过再捋一捋。

HTTPS

互联网通讯安全的基石,依托于SSL/TLS,为什么这里有根杠?这是因为SSL是TLS的前身,现在改名叫传输层安全协议。也就是我们约定好了,只要我们照着这样干,就是安全的!

先不急查看RFC,因为太长...
哦不,因为为了代入感更强,各位大侠要注意了,请把切换成互联网大咖因有的姿势,我们来试着解决一下这个互联网通讯安全问题。

让我们先明确一下用户需求:你发消息,想约自己最好的朋友出去浪,一定要保密,不然如果计划被其它人得知,就很有可能会泡汤。最靠谱的做法就是,发送的信息,有且只有我的朋友可以看懂。

解决方案一:对称加密

我和朋友都有同样的密钥--一串密码,我如果想发送信息给朋友,先用这密钥来加密发送的信息,朋友收到消息后,用密钥来解密我发送的信息,就能看到原文。就算其它人想办法获取了我们之间的通讯内容,没有这串解密钥,也看不到原文,这样就能满足我们的需求了。

放在互联网的场景中,我们来看看这种解决方案是否有效。我有一台服务器,对外提供高考成绩查询服务。小明他们班都来我的站点上来查询成绩,为了安全,他们需要把发送过来的身份信息用我们给的密钥进行加密,这样就只有我们能看懂他们的身份信息了。但他们班有30多个人,也就是说有30多个人有这份密钥,并以自己的方式将这个关键的密钥存在了30份不同的地方。根据‘我就只跟你说,你不要跟其它人说’原理,我们的密钥根本就没有安全性可言,随时都有暴漏的风险。

解决方案二: 非对称加密

如果说公钥的权力太大,那能不能把权限调整一下,哪怕你有公钥,但经过公钥加密的信息,哪怕你拿到了不属于你的公钥,但你还是打不开经过公钥加密后的信息,只有私钥可以打开。这也就是密码学领域里的“非对称加密”。可以理解为公钥和私钥的权力不对等--公钥加密的信息,自己没法解开,只有私钥可以解开;私钥加密的信息,公钥都可以解开。那么假设公钥被他人非法持有,并且同时很不幸,他们还获取了加密后的内容,但因为他们得到私钥的成本较大,我们一样可以认为这对他们并没有什么帮助,用户信息还是安全的。但真的是这样吗?

中间人攻击

上面的两种方案,都需要公钥,且公钥需传播给持有者,那么传输方式可能就不安全,就算安全的传给了合法持有者,但持有者对公钥的安全保护级别又不一样,也会有不同的安全风险。

那么非法者还是有很多方式可以获取公钥。但上面咱们也提到了,哪怕他们拿到了公钥,用户所输的信息也一样安全可靠。从非对称加密算法来看,确实如此。但如果在这个流程中穿插了一个中间人,那么还会安全吗?

也就是有一个中间人,先不论好坏。他通过某种途径获取了我们的公钥,也就是说他有能力解密服务器发出来的信息。不仅于此,他还想获取用户发送的信息。于是他也做了一台服务器,专门用来转发正常从客户端到服务器和服务器到客户端的信息,他并没有做什么破坏,服务器和客户端都感觉不到异样。而且可实施性也很高,比如很多钓鱼网站。他们将自己的网页服务做得和正规服务商提供的一模一样,普通用户很难察觉到这一点。这时候用户输入了自己的用户名和密码!这个钓鱼网站用自己的公钥给信息加了密,发给了自己的服务器,自己的服务器用私钥解密并了解了用户的相关信息,这时候再将这些明文信息和盗取的正版公钥加密,传给正牌服务商的服务器,等信息返回后,他再用正版的公钥将信息解密,并用非法私钥加密,传给自己的非法前端。这一套完整的流程,从算法的角度来说,没有任何问题,同时用户的信息也就这样泄漏了!

看来中间人是关键,那我们该如何进一步保证和户信息安全呢?

CA - certificate authority,身份认证

看来我们是没法将公钥直接发送给客户端,因为这一步如果这样走,那我们规避不了中间人的破坏了。

这个时候,我们发现需要明确几个关键角色,一起来解决这个问题。

  • 客户端 -- 需要持有公钥进行通讯
  • CA -- 也就是第三方机构,确保证书传输的合法性和安全性
  • 服务端 -- 提供合法服务

那么首先,我们的公钥会由CA发送给客户端, 客户端为了可以解密相关信息,也需要提前存储CA机构官方发布的公钥,用来解密。那么如果用CA颁发的公钥来解密出我们自己的公钥,那说明没有被调包,我们就可以依赖了。

这个过程就像我们现在用的浏览器,拿Chrome举例,Chrome官方发布的Chrome安装包中,会提前包含一些权威机构CA的公钥,这样,只要是我们通过正规渠道下载到的Chrome安装包,就已经拥有了这些证书。这时假,当我们在浏览器地址栏输入我们想要访问的站点时,浏览器会收到CA机构发送过来已经颁发且加密的公钥,浏览器用预装的CA公钥进行解密,如果能解密成功,说明公钥没有被调包,这样就可以放心的和服务端进行通讯了。

这样是不是就完美的解决了中间人的问题?

实际还差一点,因为上面我们认为对证书传输做了一层加密因该就安全了,但如果中间人也向该CA机构申请了合法的证书,CA的公钥也能解密出该中间人传过来的公钥,这样是不是又回到了之前中间人的问题呢?

证书唯一性

目前为止,我们发现CA机构除了跑腿,确实也做了一些其它的事情,目前看来还好没着急动手。

CA机构向咱们颁发的证书是作为他们的一个产品进行销售的,那么很多商品上都会有一个全球唯一的编号,这样在市场上流动的时候就有记录可寻,方便监管。

证书的商品属性,也让他拥有了一个这样的唯一编号,我们管这个编号要签名。那么能解密,保证了证书是正品,不是假冒伪劣。数字签名,则保证了唯一性,这样我通过这个唯一性,就能识别出该证书是不是我的了!

那么如何验证这个唯一性的证确性呢?其实,前面有介绍过,不同级别的证书,当你申请的时候,会让你填写一些个人信息,越贵,则需要填写或认证的信息就越详细。那么从这里可以看到,证书是带有一些特征属性的,那么这个唯一签名,也会根据这些属性,按一定的算法,推算出这样一个唯一签名。那么浏览器就可以根据这些规则自动去较验签名的正确性,这样最后一环也得到了保障!

哈哈,终于,我们成功的当了一回互联网架构师,让互联网变得更安全,更可靠。

看来CA机构还是干了好些事情,提供了价值,认可了,自然也会愿意购买这些服务。我们也需要这样一批正规,有权威,大家都信得过的机构,来做这个“中间人”!

全文完

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容