来自 应用 2021-07-18 10:03 的文章

cc防御_如何防ddos攻击_无限

cc防御_如何防ddos攻击_无限

编者按:这篇文章的更新是为了反映具有扩展验证证书的站点在浏览器中显示方式的变化。CA安全委员会(CASC)是一个致力于提高在线安全性的宣传组织,我们在2013年加入了该组织,最近发布了一个方便的信息图——我需要什么样的SSL/TLS证书?(请在这篇文章下面查看)。虽然infographic提供了证书的主要选项的高级概述,并为每个选项提供了一些示例,但是我们往往会得到很多关于这个的问题,所以我认为进一步的解释会有帮助。下面,我将按照CASC的建议,向您介绍选择SSL证书时要采取的步骤,并提供一些额外的上下文来帮助您制定决策第一步-你的域名注册了吗?首先,您需要先注册您的域,然后才能获得公共信任的SSL证书(这意味着您需要的公共网站的类型,更多信息请参阅下文)。这是因为颁发证书的组织证书颁发机构(CA)需要验证域所有权。注册你的域名是建立一个公共网站的必要步骤,因此,如果你想至少确保一个公共网站的安全,你已经做好了这一步的准备,可以进入第2步。如果你的域名没有注册怎么办?如果你的域名没有注册,你可能是在说一个内部服务器名。内部名称是属于专用网络一部分的域或IP地址,例如:任何带有非公共域名后缀的服务器名称(例如。我的域.local, mydomain.internal)NetBIOS名称或短主机名,cdn高防应急中心,任何没有公共域的东西RFC 1918范围内的任何IPv4地址(例如10.0.0.0、172.16.0.0、192.168.0.0)RFC 4193范围内的任何IPv6地址从2015年11月起,禁止CA颁发包含内部服务器名称或保留IP的公共可信SSL证书。简而言之,这是因为这些名称不是唯一的,而是在内部使用的,因此CA无法验证公司是否拥有它(例如,许多公司可能在以下地址拥有内部邮件系统:https://mail/). 有关公共SSL证书中内部名称的危险性的更多说明,请参阅我们的白皮书。内部服务器名称的SSL那么,如果您想保护使用内部服务器名称的内部服务器之间的通信,您可以做些什么呢?好吧,您不能使用公共信任的SSL证书,所以一种选择是使用自签名证书,防御cc及ddos等各种攻击,或者设置一个内部CA(例如microsoftca)并从那里颁发证书。虽然这些都是可行的选择,但是运行您自己的CA需要广泛的内部专业知识,并且可能相当耗费资源。一些CA(咳嗽GlobalSign-court)也提供了专门为这个用例设计的证书。从非公共根颁发的这些证书不需要遵守对公共证书的相同规定,因此它们可以包括内部服务器名称和保留的IP。通过这种方式,您可以保护内部服务器,而无需运行自己的CA或执行自签名证书。第二步——你需要什么样的信任度?所有的SSL证书都提供会话安全性并对通过网站提交的任何信息进行加密,但是它们在证书中包含多少身份信息以及它们在浏览器中的显示方式不同。SSL证书有三种主要的信任级别,从高到低-扩展验证(EV)、组织验证(OV)和域验证(DV)。在决定信任级别时,h3c防火墙如何防御ddos,你要问自己的主要问题是,"你想向访问者传达多少信任?"你还应该考虑你的品牌形象对你的网络形象有多重要。您想让您的品牌清楚地显示在浏览器的地址栏中,还是只包含在证书中?还是你的品牌和你的身份无关?注意:如果您想了解每种类型的详细说明,请查看我们的相关文章。扩展验证(EV)证书EV证书包含最多的公司数据,公司在收到证书之前必须满足任何类型的SSL证书的最高、最严格的要求。他们还通过将企业的身份验证放在最前面和中心,用上锁的挂锁清楚地显示公司的名称,抗ddos防御,从而为您的网站提供最可靠的信息。使用Chrome中的EV证书保护的示例站点组织验证(OV)证书与EV不同的是,认证信息并不包括企业认证信息。为了查看贵公司的身份信息,访问者需要查看证书详细信息。Chrome中的OV证书详细信息示例。您可以看到主题中包含的公司信息。域验证(DV)证书DV证书是SSL证书的最基本类型,包括证书中最少数量的身份信息,并且仅证明网站所有者可以演示对域的管理控制。虽然DV证书提供了会话加密(所以肯定比什么都没有好),但它们不包含任何公司信息。这意味着,CC防御官网,例如,颁发给的DV SSL证书中不包含任何内容以确认它实际上是由ABC公司运行的。因此,我们不建议将DV证书用于商业用途。鉴于冒名顶替者和钓鱼网站的兴起,我们建议网站运营商使用包含公司身份信息(即OV或EV)的SSL证书,以便网站访问者可以查看域所有者的身份。步骤3–您需要使用此证书保护多少个域?只有一个–使用标准证书如果您只需要保护一个域(例如。example.com网站),则应购买单个域或标准证书。您可以选择信任级别–DV、OV或EV但是,如果您需要保护多个域(例如,对于区域性站点-.com。联合王国,.de)或多个子域(例如,对于客户区域-登录-secure.example.com网站),您应该考虑购买通配符或多域证书。使用一个证书覆盖多个完全限定的域名(fqdn)比购买多个单独的证书更经济划算,并且简化了管理,尤其是在证书更新的时候。多个域如果你想保护多个域(例如。example.com网站, 示例.net, example.co.uk)如果只有一个证书,那么您应该购买一个多域证书。多域证书允许您仅使用一个证书保护多个域名。这些域在证书中作为使用者替代名称(SAN)列出,这就是为什么您经常听到人们把这些称为SAN证书的原因。多个子域如果你想保护多个子域(例如。登录.example.com, payment.example.com)对于一个证书,您可以使用通配符或多域。哪一个最适合您取决于您需要保护的子域的数量和您想要的信任级别。如果您有很多子域,或者希望将来添加更多的子域,那么您应该考虑使用通配符证书,因为您可以在域的正下方保护无限数量的站点。通配符证书具有通用格式*。example.com网站,因此它将用一个证书保护上面列出的示例。DV和OV产品支持通配符证书,但行业要求不允许EV通配符证书。如果您只有几个子域,或者您的站点在域名中包含不同数量的节点(例如。store.example.com网站, store.us.示例.com网站,store.eurpoe.example.com),您应该考虑使用子域的多域证书,因为子域通常比通配符更具成本效益,并且在支持各种域的级别。子域证书由DV、OV和EV支持。这是来自CASC的完整信息图。