SSL (Secure Sockets Layer)安全套接层,是一个不依赖于平台和运用程序的协议,它位于TCP/IP协议与各种应用层协议之间,能为数据通信提高安全支持。通信中会关系到两个端点,包含浏览器和它所连接的网站(即客户端和服务器),这就涉及到SSL双向认证和单向认证,那么两者有什么区别呢?
首先,单向SSL身份认证过程中,仅验证一个端点(服务器)的身份。当我们尝试打开网站时,浏览器会通过检查网站的SSL证书来验证网站服务器的合法性。SSL单向认证证书也称为服务器身份认证证书。
什么是SSL双向认证?双向认证是指在SSL握手过程中将同时验证客户端和服务器的身份,所以双向认证SSL证书至少包括两个或两个以上的证书,一个是服务器证书,另一个或多个是客户端证书(即个人认证证书)。
SSL双向认证与单向认证的主要区别:
1、从上述概念介绍中,我们知道单向认证只要求站点部署了SSL证书就行,任何用户都可以去访问(IP被限制除外等),仅服务端提供了身份认证。而双向认证则是需要是服务端需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性相对于要高一些
2、双向认证SSL协议通讯过程,会要求服务器和客户端双方均需安装证书。DigiCert作为国际知名CA机构,具有更高的安全性和可信性,有安装SSL证书需求的用户可以考虑下。
3、单向认证SSL 协议不需要客户端拥有CA证书,以及在协商对称密码方案和对称通话密钥时,服务器发送给客户端的是没有加过密的密码方案,安全性不高。
4、一般Web应用都是采用单向认证的,原因很简单,用户数目广泛,且无需做在通讯层做用户身份验证,一般都在应用逻辑层来保证用户的合法登入。
但如果是企业应用对接,情况就不一样,可能会要求对客户端(相对而言)做身份验证。这时就需要做SSL双向认证。
