2024年11月

提供免费SSL证书的平台及其相关信息:

  1. Let's Encrypt

    • Let's Encrypt是一个免费、自动化且开放的证书颁发机构(CA),旨在通过提供免费的SSL/TLS证书来促进整个互联网的安全性。它由非营利组织互联网安全研究小组(ISRG)运营,提供的证书完全免费,有效期为90天,但可以自动更新。
  2. ZeroSSL

    • ZeroSSL提供简单易用的界面和工具,使得生成、安装和管理SSL证书变得非常方便。它提供了免费的基础SSL证书,适用于个人网站和小型项目,证书有效期为90天,可以通过自动化工具或手动方式进行更新。
  3. 阿里云

    • 阿里云提供免费的DV域名型SSL证书,由DigiCert颁发。每个阿里云账号一年可以申请20个免费SSL证书,证书有效期为3个月。申请流程包括在阿里云数字证书管理服务控制台一键申请,创建证书、输入域名等信息并进行域名验证。
  4. freeSSL.cn

    • freeSSL.cn是国内的自主品牌SSL证书提供商,提供包括单域名、通配符在内的免费证书。freeSSL.cn支持全程境内服务器验证签发,安全可信、完美兼容且更加稳定快速。注册freeSSL.cn官网账户时,填写特定的邀请码可以免费使用。
  5. freeSSL.org

    • freeSSL.org提供免费SSL证书,属于域名验证(DV) SSL证书,提供免费、最快、最简单且最具成本效益的方式,可在1分钟内收到SSL证书以实现行业标准的256位加密。证书有效期为90天。

2024年7个免费CA证书的平台:

  1. Let's Encrypt

    • Let's Encrypt是一个免费、自动化且开放的证书颁发机构(CA),由互联网安全研究小组(ISRG)运营。它提供免费的SSL/TLS证书,有效期为90天,但可以自动更新。
  2. ZeroSSL

    • ZeroSSL提供免费的SSL证书服务,证书有效期为90天,支持自动续订,并且过程快速简单。
  3. SSL For Free

    • SSL For Free基于Let's Encrypt提供免费SSL证书,私钥在浏览器中生成,从不传输,提供永久免费的SSL证书。
  4. Cloudflare

    • Cloudflare提供免费的SSL解决方案,作为其安全服务的一部分。用户可以通过Cloudflare的网络服务来获得免费的SSL证书。
  5. FreeSSL.org

    • FreeSSL.org使用Let's Encrypt和Buypass提供永久免费的SSL证书,有效期分别为3个月和6个月,所有证书均可自动续订。
  6. 阿里云

    • 阿里云提供免费的DV域名型SSL证书,由DigiCert颁发,一个阿里云账户最多可以签发20张免费证书。
  7. Get HTTPS for Free

    • Get HTTPS for Free是一个简单的工具,用于生成Let's Encrypt证书,提供了用户友好的界面。

App Transport Security(ATS)是苹果在iOS 9及更高版本中引入的一项安全特性,旨在强制应用通过HTTPS(而不是HTTP)连接网络服务,以确保数据传输的安全。以下是ATS的一些关键点:

  1. 默认启用:在iOS 9及以上版本中,默认启用ATS,要求应用的所有网络请求都必须通过HTTPS进行。
  2. 安全要求:ATS要求应用的HTTPS连接必须满足以下条件:

    • 必须使用TLS 1.2版本的加密协议。
    • 必须使用AES-128或AES-256对称加密算法。
    • 必须支持正向保密(Forward Secrecy),使用ECDSA密钥交换。
    • 服务端的叶证书签名密钥必须符合特定要求。
  3. 自定义配置:如果需要,开发者可以在应用的Info.plist文件中自定义ATS配置,例如允许特定的不安全连接或为特定域名设置例外。
  4. 影响:从2017年1月1日起,苹果要求所有新上线或更新的应用都必须支持ATS安全标准。
  5. 适配ATS:如果应用需要访问非ATS安全标准的服务,可以在Info.plist中添加例外,但在审核时需要提供合理的理由。
  6. 性能和安全性:ATS通过减少连接次数和强制使用加密连接,可以提高应用的性能并增强安全性。
  7. 证书透明度:ATS还支持Certificate Transparency,要求服务器证书必须有有效的签名证书透明度时间戳。

确保服务器满足ATS最低要求
服务器必须使用受信任的CA签发的证书,主要包括:

具有完整的数字签名,表明证书未被篡改。
证书没有过期。
证书域名与访问域名匹配。
该​​证书必须由证书颁发机构 (CA) 颁发。如iOS 中可用的受信任根证书列表中所示。
ATS 需要的安全检查:

服务器证书必须使用至少 2048 位的 (RSA) 密钥或至少 256 位的椭圆曲线加密 (ECC) 密钥进行签名。
证书必须使用具有至少 256 位(即 SHA-256 或更大)的摘要长度(有时称为指纹)的安全散列算法 2 (SHA-2 )。
连接必须使用传输层安全 (TLS) 协议版本 1.2 或更高版本。
必须使用 AES-128 或 AES-256 对称密码交换数据。
链路必须通过椭圆曲线 Diffie-Hellman Ephemeral (ECDHE) 密钥交换支持完美前向保密 (PFS)。

ECC SSL证书,即椭圆曲线密码学(Elliptic Curve Cryptography)SSL证书,是一种基于椭圆曲线密码学的数字证书。以下是ECC SSL证书的优点和缺点:

优点:

  1. 更小的密钥大小:ECC证书的一个显著优势是,与RSA证书相比,它能够以更小的密钥提供强大的安全性。例如,256位的ECC密钥提供的安全性与3072位的RSA密钥相当。
  2. 更好的性能:由于密钥更小,计算速度更快,这为移动设备和低功耗系统带来更好的网络性能和更快的安全连接。
  3. 更高的安全性:ECC被认为更安全,因为它所基于的离散对数问题比RSA使用的因式分解整数问题更复杂,更难以被攻击。
  4. 降低资源消耗:ECC SSL证书占用的物理空间小,带宽消耗低,改进了服务器到浏览器的性能。

缺点:

  1. 较高的复杂性:ECC实施起来更为复杂,需要仔细配置才能确保安全。配置错误的系统可能无法提供预期的保护级别。
  2. 较低的兼容性:尽管大多数现代操作系统和Web浏览器都支持ECC算法,但一些老旧的系统和Web托管控制面板可能不支持ECC算法。
  3. 专利问题:部分ECC算法已申请专利,这最初减缓了其采用速度。不过,许多关键专利现已过期。
  4. 量子计算威胁:与其他公钥密码系统一样,ECC也容易受到大规模量子计算机的攻击(尽管这种攻击程度不如RSA)。
  5. 有限采用:尽管ECC有诸多优点,但在某些领域并未像RSA那样得到广泛采用,这可能导致兼容性问题。

ECC SSL证书是一种使用椭圆曲线加密技术(Elliptic Curve Cryptography, ECC)的数字证书,它在互联网上提供安全通信。以下是ECC SSL证书的一些关键特点和定义:

  1. 椭圆曲线加密技术:ECC是一种基于有限域上椭圆曲线数学结构的公钥加密法。与传统的RSA算法不同,ECC利用椭圆曲线的特性来创建安全的加密密钥。
  2. 较小的密钥大小:ECC的一个显著优势是,与RSA证书相比,它能以较小的密钥大小提供强大的安全性。例如,256位ECC密钥的安全性与3072位RSA密钥相当。
  3. 性能:由于密钥更小,ECC提供了更快的计算速度,从而为移动设备和低功耗系统带来更好的网络性能和更快的安全连接。
  4. 安全性:ECC被认为更安全,因为它所基于的离散对数问题比RSA使用的大整数因式分解问题更复杂。
  5. 工作原理:ECC证书的工作原理与传统SSL证书类似,但使用的是椭圆曲线加密算法,而不是RSA算法。它们在客户端和网络服务器之间建立安全连接,确保数据传输的加密和完整性。
  6. 兼容性和复杂性:ECC的实施更为复杂,需要仔细配置以确保安全。并非所有的系统和应用程序都支持ECC,但随着越来越多的平台采用ECC,兼容性问题逐渐减少。

ECC SSL 证书与 RSA SSL 证书
ECC SSL 证书还是 RSA SSL 证书?应该选择哪一个呢? 这两种算法都是完全安全的,并且它们被全球数百万的网络服务器使用,只是RSA兼容老旧设备。

但是,两者之间有一个关键区别。ECC SSL 证书通过应用长度更短的密钥提供与 RSA 相同的加密强度。举个例子,256 位 ECC 为您提供与 3072 位密钥相同的加密强度(比目前使用的 2048 位密钥长 50%)。因此,ECC SSL 证书需要较少的计算能力,最终体现在加密速度上。它提高了网络性能,并且可以在大容量网站的速度方面产生重大影响。