没有什么事情,比使用 SSL 来提升您网站的安全性来得更重要了,然而,即使加密不是什么新的技术,密码学家仍然不断地寻找能让">加密技术更安全的作法。而我们 Azure 网站服务团队也一直不断地支持最新最安全的加密运算,今天要跟各位介绍我们已经支持很棒、使用椭圆曲线加密法(ECC, Elliptic Curve Cryptography)的凭证。
椭圆曲线加密技术,是基于在有限场(finite field)中椭圆曲线的代数结构,听不懂了吗?别担心,很多人都听不懂这玩意儿。要画出椭圆曲线的图,都是根据 y2 = x3 + ax + b 这个代数方程式,当你将 X 及 Y 对应的值画出来时,你会发现它是一个对称的椭圆曲线,举例来说,若是画出 y2=4x3-4x+4 这个代数方程式,就会像下面这张图一样:
为了不让这篇文章变成艰深的数学课,我们简单地说,当一个代数方程式有这样复杂且对称性质,那就可以用来产生一个函数,有效地产生不容易攻破的公钥(public key)及私钥(private key)来做加解密。我们先产生一把私钥,选定一个椭圆曲线来产生出对应的公钥,要从公钥反推回私钥(也就是我们俗称的攻击、破解)是出了名地难,而且运用当今科技也无法在合理的时间内破解成功,这个方式相较于现在常见的一些公钥私钥加解密系统大概可以提升 10 倍以上的难度(确定你真的想了解为什么,再读这篇文章),换句话说,使用 256 位的椭圆曲线加密法,它的安全指数相当于使用 2600 位的 RSA 加密法,而现今业界常使用的标准不过是 2048 位的 RSA 加密法,这已经是很难攻破的加密法了,由此可知,若使用相同位的椭圆曲线加密法,要用现在的超级计算机破解它简直是天方夜谭。
说了这么多,我们只是想让您知道,现在您不只可以购买市面上常见的 SSL 凭证,还可以购买更安全、使用 ECC 的 SSL 凭证来确保您网站服务的安全性。ECC 凭证目前还是一项很新的技术,市场上还没有很多家业者有提供,不过若您有需要,现在可以向 Symantec 或是 Entrust 来购买,不过相信很快很多凭证业者就会跟进了。
你知道吗?Azure 网站服务最近已经通过 ECC 凭证的测试了!所以您也可以在 Azure 网站服务上安装 ECC 凭证,就跟过去安装凭证一样,上传您购买的 .pfx 凭证档案就可以立即运作了!不过要注意的是,不是所有的客户端都支持 ECC 凭证,但如果您是使用 Windows Vista 之后的计算机,那就可以不必经过特殊设定,也能使用浏览器来浏览使用 ECC 凭证做 SSL 加密的网站!