現今SSL安全協議廣泛地用在Internet和Intranet的服務器產品和客戶端產品中，用于安全地傳送數據，集中到每個WEB服務器和瀏覽器中，從而來保證來用戶都可以與Web站點安全交流 。本文將詳細介紹SSL安全協議及在WEB服務器安全的應用。

　　一、SSL安全協議在WEB服務器中的應用

　　1、我們?yōu)樘峁┚哂姓嬲�安全連接的高速安全套接層SSL)交易，可以將PCI卡形式的SSL卸載(offloading)設備直接安裝到Web服務器上，這種做法的好處是：

　　(1)從客戶機到安全Web服務器的數據安全性；

　　(2)由于卸載工具執(zhí)行所有SSL處理過程并完成TCP/IP協商，因此大大提高了吞吐量；

　　(3)簡化了密鑰的管理和維護。

　　安全性加大在實現向電子商務和其它安全Web站點的服務器增加SSL加速和卸載設備的結果是提高了交易處理速度。但是由于設備是作為應用被安裝在網絡上的，因此設備與安全服務器之間的數據是未加密的。將SSL卸載設備作為PCI擴展卡直接安裝在安全服務器上，保證了從瀏覽器到服務器的連接安全性。

　　SSL可以用于在線交易時保護象信用卡號以及股票交易明細這類敏感信息。受SSL保護的網頁具有"https"前綴，而非標準的"http"前綴。

　　2、新型專用網絡設備SSL加速器可以使Web站點通過在優(yōu)化的硬件和軟件中進行所有的SSL處理來滿足性能和安全性的需要。

　　當具有SSL功能的瀏覽器(Navigator、IE)與Web服務器(Apache、IIS)通信時，它們利用數字證書確認對方的身份。數字證書是由可信賴的第三方發(fā)放的，并被用于生成公共密鑰。

　　當最初的認證完成后，瀏覽器向服務器發(fā)送48字節(jié)利用服務器公共密鑰加密的主密鑰，然后Web服務器利用自己的私有密鑰解密這個主密鑰。最后，瀏覽器和服務器在會話過程中用來加解密的對稱密鑰集合就生成了。加密算法可以為每次會話顯式地配置或協商，最廣泛使用的加密標準為"數據加密標準"(DES)和RC4。

　　一旦完成上述啟動過程，安全通道就建立了，保密的數據傳輸就可以開始了。盡管初始認證和密鑰生成對于用戶是透明的，但對于Web服務器來說，它們遠非透明。由于必須為每次用戶會話執(zhí)行啟動過程，因而給服務器CPU造成了沉重負擔并產生了嚴重的性能瓶頸。據測試，當處理安全的SSL會話時，標準的Web服務器只能處理1%到10%的正常負載。

　　二、應做的處理

　　密碼在加解密數據時，使用兩種類型的密鑰。私有密鑰被發(fā)給各實體并且永遠不向外透露，公共密鑰可以任意分發(fā)。這兩種密鑰對于認證過程是必不可少的。使用公鑰加密的數據不能使用同一個密鑰進行解密，必須使用私有密鑰進行解密。

　　SSL使用復雜的數學公式進行數據加密和解密，這些公式的復雜性根據密碼的強度不同而不同。高強度的計算會使多數服務器停頓，導致性能下降。多數Web服務器在執(zhí)行SSL相關任務時，吞吐量會顯著下降，性能比在只執(zhí)行HTTP 1.0連接時的速度慢50多倍。而且由于SSL復雜的認證方案和加/解密算法，SSL需要大量地消耗CPU資源，從而造成Web服務器性能很大的下降。它所造成的服務器瓶頸使Web站點的速度慢如蝸牛爬行，這無疑會失去在線客戶。