什么是SSL:
(Secure Socket Layer,安全套接字层),为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取。当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
TSL握手的位置:
位于TCP之上,HTTP之下
SSL证书介绍:
SSL证书服务(Alibaba Cloud SSL Certificates Service)由阿里云联合中国及中国以外地域多家数字证书管理和颁发的权威机构,在阿里云平台上直接提供的服务器数字证书。您可在阿里云平台上直接购买所需类型的证书,并一键部署在阿里云产品中,以最小的成本将您的服务从HTTP转换成HTTPS,实现网站的身份验证和数据加密传输。
SSL证书类型:
| 数字证书 | 适用网站类型 | 公信登记 | 认证强度 | 安全性 |
|---|---|---|---|---|
| DV SSL | 个人网站 | 一般 | CA机构审核个人网站真实性、不验证企业真实性 | 一般 |
| OV SSL | 政府组织、企业、教育机构等 | 高 | CA机构审核组织及企业真实性 | 高 |
| EV SSL | 大型企业、金融机构等 | 最高 | 严格认证 | 最高(地址栏绿色) |
RSA与ECDSA算法
数字签名技术已经广泛使用于网络安全协议或分布式系统中,目前比较流行的数字签名算法有RSA和ECDSA。
(1) RSA签名算法适合于:Verify操作频度高,而Sign操作频度低的应用场景。比如,分布式系统中基于capability的访问控制就是这样的一种场景。
(2) ECDSA签名算法适合于:Sign和Verify操作频度相当的应用场景。比如,点对点的安全信道建立。
SSL结论:
SSL的主要作用是为了验证服务器和加密。其中加密分为单向和双向。我们需要的是单向加密的SSL,服务器这边有privatekey,客户端用publickey。加密方式分为RSA和ECDSA,其中ECDSA算法效率更高,但是证书更贵,RSA有免费的证书。另外我看了下go的tls包源码,tls也是支持RSA和ECDSA加密的。go服务器要启用SSL也很方便,直接用tls包的listener监听就行了,TLS连接建立在TCP层和应用层之间,我们作为应用层可以直接调用这个listener,不需要做太多修改。然后关于SSL的启用,阿里云的SLB这边也是支持SSL的,只需要申请证书后,部署到SLB上,在SLB启用HTTPS监听就行,服务器不需要做任何修改。因为客户端只和SLB这边做TLS握手,只有客户端到SLB是加密的,SLB和后端ECS走的是普通的HTTP/1.1协议。
参考
使用SLB部署HTTPS业务(单向认证):
https://help.aliyun.com/document_detail/85953.html?spm=a2c4g.11186623.6.567.7b893be7WwmXa2
