【譯】OPEN SSL——無人問津的英雄

原文連接

在這篇文章中，將討論在HTTPS鏈接中，SSL證書如何保障現代網站的安全標準。

當看到HTTPS和HTTP鏈接時，大部分人不知道它們之間的區別。咱們不由自問，一個小小的"S"能形成什麼差異呢？不多有人知道，正是這個小小的"S"纔是關鍵所在。

HTTPS與HTTP並不只僅是一個字母的差異，HTTPS經過一個有效的SSL證書，保障了一個安全的受保護的鏈接。

在這篇文章中，咱們會簡要地說明SSL/TLS(安全套接字層與傳輸層安全)是什麼，以及如何爲一個網站獲取證書。

不知不覺中，咱們已經瀏覽過不少有SSL證書的網站，手機應用程序，郵件，信息收發等等。其中，在網站中最爲常見，可是大部分人都感覺不到它的存在。SSL證書能夠被視爲服務端發送給客戶端的一把鎖（公鑰），客戶端可使用這把鎖將要加密的內容鎖上，而鑰匙（私鑰）只有服務端才持有，此時，只有服務端才能獲取到加密的內容。

SSL證書促進了加密技術——當咱們聽到這個詞的時候，咱們的腦海中首先想到的是"密文"與"破解"，將數據轉換成任何第三方都不能識別的格式，而後由接收者使用私鑰進行解密。

安全鏈接創建的過程稱爲"SSL握手"。咱們可使用平常生活中的例子幫助咱們理解這個過程。

例如，當有人僱傭你作一個很重要的工做時，步驟以下：

1. 咱們向彼此打招呼——相似地，客戶端與服務端交換clientHello與serverHello信息，這些信息帶有SSL相關的內容。此後，一條安全鏈接就在咱們之間出現了。
2. 校驗身份，記錄等——打完招呼以後，咱們彼此都放鬆了一點，客戶端經過SSL證書中的信息來驗證服務端（例如，位置，公鑰，認證日期等），就像咱們的老闆檢查咱們身份的真實性，客戶端檢查證書頒發機構的有效性。
3. 交換祕鑰——當咱們的老闆信任咱們之後，他留給咱們辦公室的鑰匙。相似地，客戶端和服務端交換公鑰與私鑰，對稱或不對稱的加密就發生了。

以這種方式，一個值得信任的員工被僱傭了，相似地，一個安全的鏈接就創建好了。

獲取證書

這就是OpenSSL發揮做用的地方。這要追溯到1998年十二月，彼時，www.openSSL.org網站出現了，它是一個在線的軟件庫，爲網站提供軟件，保護他們免受第三方竊取或竄改數據。它也提供私鑰的生成，這是TLS協議中很重要的一部分。

正如它的名字同樣，open SSL向全部網站的開發者和擁有者開放，他們可使用全部必要的工具。在Linux, Windows, macOS以及BSD操做系統中均可用。

如今，任何組織都必須遵照公共的安全標準，這樣他們才能與客戶之間創建起信任關係，因此他們的網站須要有SSL證書。open SSL幫助他們實現了。

證書就像咱們工做上實習期的證實，它保證了咱們工做的完成質量。數字憑證必須在Open SSL庫中申請SSL證書。

爲了將SSL證書轉換成不一樣的格式，須要知道一些Open SSL命令。TLS協議支持幾種不一樣的OpenSSL版本，1.1.1, 1.0.2以及1.1.0。

使用openssl version -a查看OpenSSL版本。

生成CSR——證書籤名請求。這個請求是由網站全部者向權威機構申請一個應用程序的證書。OpenSSL幫助生成一個CSR碼。

生成私鑰——私鑰是解鎖對應公鑰加密的惟一方式。它必須惟一，而且包含一個選項決定是否在私鑰中包含一個額外的密碼，不夠，全部的服務器都不接受帶密碼的私鑰。

生成私鑰有兩種算法——RSA算法生成2048位的祕鑰，ECDSA算法生成256位的祕鑰。

要生成祕鑰，須要使用如下命令:opensslrsa -text -in yourdomain.key -noout

提取公鑰——使用如下命令從私鑰中提取公鑰:opensslreq -new -key yourdomain.key -out yourdomain.scr

在生成CSR以前，有一些重要的問題要問，像給你發身份證時同樣：

• 國家代碼（兩個字的代碼）
• 州或省名
• 城市名
• 機構名稱
• 機構部門名稱
• 公用名稱（主機名稱）
• 郵箱地址

驗證消息與證書細節 最後，咱們獲得證書之後該作什麼呢？咱們要檢查一下信息是否正確，以及咱們的名字是否與證書上的一致。相應的，有一個命令能夠鑑定證書的信息是否與咱們的私鑰相匹配： openssl x509 -text -in yourdomain.crt -noout

2014n年，谷歌與火狐瀏覽器發起了 「HTTPS Everywhere」運動，以後，SSL證書的需求急速增長，由於該運動強迫全部在它SEO瀏覽器上的網站都必須有一個HTTPS鏈接。這是一個很是重要的運行，由於它使得安全與私密再也不是一個可選項，而是一個必選項。在網絡犯罪不斷增長的如今，咱們必須盡咱們所能來保障咱們的隱私。