在互联网时代,如何保障网络数据安全一直是一个备受关注的话题,对于从事互联网在线零售的企业来说,如何保障消费者的信息安全更是显得十分重要。
当消费者在网站上进行购物时,往往需要向网站提交一些敏感的个人信息,如身份信息、信用卡号等。如何保证这个信息的传递过程是安全的呢?网站(服务器)与消费者(客户端)之间是如何建立安全的连接呢?这些都离不开网络数据传输加密协议: SSL和TLS。
什么是SSL和TLS?
SSL:(Secure Socket Layer),SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。
TLS:(Transport Layer Security),用于两个应用程序之间提供保密性和数据完整性。该协议也是由两层组成:TLS记录协议和TLS握手协议。
SSL/TLS协议提供的服务主要有:
1.认证用户和服务器,确保数据发送到正确的客户机和服务器;
2.加密数据以防止数据中途被窃取;
3.维护数据的完整性,确保数据在传输过程中不被改变。
SSL/TLS作为一种互联网安全加密技术,背后的原理比较费解和无趣,大家可以自行脑补各种谍战片中使用暗语对接的画面。
然而相信很多人有遇到过以下熟悉的页面。
SSL/TLS协议在建立安全连接时的其中一个环节,就是对网站服务器的证书进行验证。消费者在访问网站时,如果网站的安全证书有问题,就会弹出以上页面表明继续访问该网站有潜在的风险。
SSL和TLS的差异在哪?
SSL(Secure Sockets Layer)及其继任者TLS(Transport Layer Security)都是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL都是在传输层对网络连接进行加密。
SSL协议最新的版本为SSL 3.0,历史上曝光了许多关于SSL漏洞的新闻,例如在2014年10月15日上午Google发布了一份关于SSL 3.0漏洞的简要分析报告,报告阐述黑客可以利用SSL协议中的漏洞截获传输数据,Google给出一个无奈的建议是让客户端以及服务器端关闭对SSL 3.0的支持。
TLS协议可以视为SSL协议的升级版。TLS 在SSL 3.0 的基础上,采用了更安全的MAC算法、更严密的警报以及更规范和明确的定义。TLS协议自从1999发布至今,经历了两次升级,分别为TLS 1.1版和TLS 1.2版,目前TLS协议是已经非常成熟并且是当前网络上使用比较广泛的加密协议。
根据PCI DSS(Payment Card Industry Data Security Standard,支付卡行业数据安全标准)组织的最新要求,由于目前SSL 3.0/TLS 1.0协议存在比较严重的漏洞,建议仍在使用的网站关闭此协议,并使用最新版本的TLS 1.1或TLS 1.2协议。
如何让交易数据更安全?
在互联网上的每一笔交易请求都离不开服务器,如果你耐心地看完了以上文字,相信你已经get到了如何让自己网站的交易数据更安全的办法。然而如果你是直接拉到下面呢,那就更简单了。
作为一家跨境支付服务提供商,钱海/Oceanpayment已经连续两年通过PCI DSS最高级别的安全认证,一直以负责、严谨的态度对待数据安全问题,目前平台可支持TLS 1.2版本以上的数据加密协议。为了保障广大商户每一笔订单交易的安全,钱海强烈建议商户关闭网站对SSL 3.0/TLS 1.0的支持,使用更高版本的加密协议,以降低交易数据的泄露风险。
粤公网安备 44030502003453号
Comments are closed.