多域选项(UCC/AN)。
它的全名是统一通信证书(UCC)或主题备用名称(SAN),它可以覆盖整个列表(尽管有限)的域名。用户可以指定多个域和子域,它们的数量会影响资源的成本。
通常,起价为三到五个名字,添加更多名字需要额外收费(数量有上限)。最好在相关网站上使用这样的证书:这样访问者在检查证书时就会看到主域名和现有的附加域名。
表壳:VT-metall
了解我们如何为莫斯科一家金属加工 阿尔巴尼亚电话号码列表 公司 将招聘成本降低 13 倍
了解方法
具有无限数量子域名(通配符)的选项。
HTTPS协议有四个组件需要加密:
建立连接初始阶段的密钥交换。
使用秘密密钥和公钥,或所谓的非对称算法。
由证书颁发机构生成的HTTPS证书。
使用利用秘密密钥和公钥的算法。
直接传输的消息加密。
先前共享的秘密被加密(所谓对称算法的方法)。
关于此主题的推荐文章:
适合初学者的互联网网站推广
外部网站优化:阶段、服务、帮助
网站推广的技巧
传输信息的摘要。
使用加密散列算法。
每个列出的项目中的密钥大小都不同,并且有些算法不再建议使用。在初始阶段(所谓的握手),用户和服务器面临着选择要使用的方法配置、交换密钥的任务(大约有十种不同的公钥算法,选择其中一种)。
此外,还要选择一种密码(同样从大约十种对称密钥算法中选择)加上另一种用于摘要传输数据的算法(共有三种,其中两种不建议使用)。因此可以形成数百种配置。
示例:形成了ECDHE-RSA-AES256-GCM-SHA384形式的组合。因此,事实证明 ECDHE(椭圆曲线 Diffie-Hellman Ephemeral)算法将用于密钥交换。使用 RSA(Rivest-Shamir-Adleman)算法来签署证书。对称加密过程将使用 AES(高级加密标准)密码,选择 GCM 模式和 256 位密钥进行操作。
为了保证消息的完整性,将使用 SHA 安全散列算法和 384 位摘要。值得注意的是,可能的算法配置的完整列表是免费提供的。
因此,用户和服务器选择使用的组合。
选择密码套件
需要考虑两件事的重要步骤:
如果设备上安装了旧浏览器并且需要使用旧密码,那么服务器必须支持它们。
现实情况是,许多旧密码不再被认为是安全的。
这里,用户和服务器的任务是在第一次握手期间选择最可靠的现有组合(并得到双方支持)。为此,OpenSSL 提供了一个列表,其中加密最安全的组合排在最前面,而安全性较低的组合排在列表的末尾。
在维基百科上可以找到所有 TLS 组件的现有算法列表,并标明它们是否受不同版本的 SSL 和 TLS 的支持。
可以推荐使用的一个有用参考是 Mozilla SSL 配置生成器。它包含适合在服务器上使用的方法列表,这些方法用于创建此处作为示例给出的实际组合。
确保数据安全
资料来源:shutterstock.com
选择密钥类型
HTTPS网站安全协议的ECC(椭圆曲线密码)证书在处理速度方面还算不错;此外,与 RSA 证书相比,它们使用的 CPU 更少(这对于移动设备来说很重要)。但是,目前许多服务不支持 ECC 证书。其中包括 Amazon、CloudFront、Heroku。
对于 ECC,256 位密钥长度就足够了。
RSA(Rivest-Shamir-Adleman)证书适用于各种旧服务器,但 RSA 也被认为速度较慢。这里至少使用了 2048 位密钥。如果证书使用 4096 位密钥,那么这对性能不会产生最佳效果。但是,它们通常使用 2048 位中间密钥进行签名,这降低了保护级别。
以上信息只是一般性且相对的。超出一台服务器能力的事情对于另一台服务器来说可能是简单的任务。要了解性能水平,最好亲自检查一切,正如他们所说,以真实的领域和真实的用户为例。但结果不会是一成不变的:在互联网上,一切都变化得非常快。