24 Mar 2017

CA and SSL

衆所周知現在的系統都會用HTTPS，而公司最近集成了godaddy的驗證，於是page上就有了godaddy的logo，顯示你的系統在安全之下。一直不是很明白這個安全的含義，最近做了一些調查，理順了一些概念。

godaddy是一個ca服務商，而tsl(Transport Layer Security)是一個https的協議，是從ssl(Secure Sockets Layer)進化過來，現在已經是tsl1.3版本。

我們部署自己的應用時候，比如tomcat+java+linux的stack，我們可以自己生成證書並放入到tomcat裏面，這樣tomcat就可以開啓HTTPS模式了。但是這樣的HTTPS只能用在自己的domain裏面，不會有綠色的secure標志。很簡單，你自己搞的私有證書，別人憑什麽相信你呢。即使別人加了你的證書，但是這是自簽證書，根證書不在PKI體系中，主流瀏覽器全部顯示此網站可能存在風險，衹能靠用戶信任導入你提供的根證書來通過。

所以我們就需要去godaddy這樣的ca服務商買ca證書了。使用證書的目的不是加密（加密僅僅是tsl證書一個功能），而是證明。證書的價格和加密程度沒有關係，只和頒發的機構有關。買證書就是申請一個身份證明，貴的機構的證書是護照，便宜的機構證書就是學生證。哈佛的學歷和野鷄大學的學歷自然不可相提并論。

這是正規ca大廠商和野鷄ca的區別 1、加密强度上面的区别 2、验证方式上面的区别，高价格的验证更为严格，更加安全。 3、保险额度上面的区别 4、通用性区别 5、公司信誉品牌上的区别，就像苹果电脑和其他电脑功能都差不多，但是苹果电脑贵很多。

所以，這個安全logo是給使用系統的用戶看的，證明了這個URL是合法的，并且使用了SSL技術，所以網絡包的傳輸godaddy我來保障。僅此而已。

Til next time,
at 00:00