国内CA
机构颁发SSL
证书的风险
目前,国内很多
CA
机构都在颁发
SSL
证书,但存在着一些问题,主要体现在以下几个方面。
首先,国内
CA
机构颁发的
SSL
证书很多没有通过微软的认证,这样,
IE
浏览器无法识别,并且会显示警告信息,如:
IE7
浏览器的警告信息为
“
此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站
”
,这种警告使得用户不敢再访问此网站,也就不会有网站愿意购买国内
CA
机构颁发的
SSL
证书了。
其次,
SSL
证书中没有浏览器能自动识别和通过
http
访问的吊销列表,这意味着:如果证书颁发机构发现某个
SSL
证书有问题,或是欺诈网站,则可以吊销此证书,但由于浏览器无法识别有效的吊销列表因此无法实时监测到此证书是否已经吊销,这样问题会相当严重,这就相当于一个公司的营业执照被吊销而无法查实一样。比如,
CNNIC
颁发给客户的
SSL
证书的吊销列表一个是不可访问的,另一个是
LDAP
方式的吊销列表,是浏览器无法直接访问的,因此无法确认该
SSL
证书是否有效。
第三,数字证书类型会有错误。数字证书按产品功能分,主要分为:用于服务器端的
SSL
证书、用于客户端的个人证书和用于数字签名软件代码的代码签名证书。而有些国内
CA
机构颁发的
SSL
证书类型居然是用于客户端验证的个人证书,这会导致浏览器因无法识别正确的证书类型而无法实现
SSL
加密功能。
第四,证书主题不符合国际标准。证书主题信息一般会显示
SSL
证书域名
(CN)
、单位名称
(O)
、部门名称
(OU)
、所在国家
(C)
、所在省份
(S)
和所在市县
(L)
,而许多国内
CA
机构颁发的
SSL
证书的证书申请单位名称
O
字段居然是
CA
的名称!按照
X.509
证书标准格式规定,
SSL
证书主题信息中的
“O”
字段只能写
SSL
证书申请单位的名称,而绝对不能写成
CA
机构的名词,这不仅不符合证书标准规范,而且会给
CA
机构带来法律风险和给
SSL
证书申请单位带来品牌伤害和在线信任问题。比如,国内某
CA
机构颁发给某银行的
SSL
证书的
O
字段是此
CA
机构的名称,而不是该银行的名称,按照
X.509
证书标准格式解释,该银行属于此
CA
机构。同样的问题也出现在
CNNIC
颁发给网易的
SSL
证书上,
O
字段应该显示网易公司名称,但居然显示
“CNNIC SSL”
,这意味着此网站
*.help.163.com
属于
CNNIC
,而不属于网易公司。不仅如此,有些还把
L
字段写成地址,
S
字段写成一串数字等等,都是不符合数字证书
X.509
国际标准的。
国际机构颁发SSL
证书的风险
鉴于国内
CA
机构颁发的
SSL
证书不支持各种浏览器(浏览器因无法识别而显示警告信息),所以目前国内几乎所有重要的网上银行、网上证券、电子商务网站和电子政务系统全部部署的是国外
CA
机构颁发的
SSL
证书,这是有一定风险的,主要体现在以下三个方面。
一是,所有
https://
访问都是实时向证书颁发机构查询吊销列表的,一旦证书被吊销,
SSL
证书就不能正常工作了,也就是说不能起到加密的作用了。证书颁发机构
(CA
机构
)
根据用户的申请或其他原因可以随时吊销
SSL
证书。试想一下:如果由于某些原因,所有中国的网上银行的
SSL
证书被国外
CA
机构吊销,则中国的网银用户都无法使用网银了!如果连到美国的互联网线路中断,则用户无法访问位于美国的证书吊销列表,还是一样会影响到网银用户的正常使用!
其次,是中文单位名称问题。国外
CA
机构颁发的证书不支持中文单位名称,是普通网民看不懂的英文名称,这不仅不方便国内网民在线实时查看网站的真实身份,而且由于国内企业并没有标准的英文名称,而证书中显示的是翻译的英文名称,会存在一定的法律风险。
第三,
是技术支持问题:国外
CA
机构的身份验证和技术支持一般都在国外,对于国内用户而言,存在语言障碍和时差问题,这也不利于
SSL
证书的部署和可靠运行。
SSL
证书的主要用途
目前只有部署
SSL
证书才能有效地保证网上机密信息的安全,
SSL
证书的主要用途有:
1
.确保用户输入的登录密码能从用户电脑自动加密传输到服务器,从而大大降低用户密码被盗的可能性。有关统计表明:部署
SSL
证书后,可以降低
80%
的由于用户密码问题带来的客户服务工作量,这将为服务提供商降低客服成本。
2
.确保用户安全登录后在线提交个人机密信息、公司机密信息和浏览其机密信息时能从用户电脑到网站服务器之间能自动加密传输,防止非法窃取和非法篡改。
3
.让在线用户能在线查询网站服务器的真实身份,防止被假冒网站所欺诈。如假冒银行网站,用户只要查看
SSL
证书中的主题信息的
O
字段就能了解此网站并不是真正的银行网站
;
而被列入黑名单的欺诈网站,
IE7
浏览器能实时帮助用户识别。
4
.让在线用户放心,这点对于电子商务网站非常重要,因为部署了
SSL
证书,一方面表明服务提供商采取了可靠的技术措施来保证用户的机密信息安全;另一方面更重要的是,可以让用户了解到此网站的真实身份已经通过权威的第三方认证,网站身份是真实的,是现实世界合法存在的企业。
5
.法律法规遵从:部署
SSL
证书就等于该网站已经按照有关法律法规要求采取了可靠的技术措施,这对于企业的健康发展非常重要。
部署SSL
证书应注意哪些问题?
企业在选购和部署
SSL
证书时应该注意哪些问题呢?总结如下。
1
.一定要部署支持所有浏览器的
SSL
证书,绝对不能为了省钱而使用自签证书!也就是说:不需要在用户的电脑上安装任何根证书就能让浏览器识别出网站已经部署了
SSL
证书,这点是部署
SSL
证书的最低要求,因为网站不可能要求所有用户都安装某个特定根证书,而用户在访问时
IE7
浏览器会直接拦截不支持浏览器的
SSL
证书,达不到部署
SSL
证书的目的。
2
.要根据自己的业务需要选择合适的
SSL
证书
(
前提是支持浏览器的
SSL
证书
)
,因为目前市场上有多个品牌可以选择,当然首选支持浏览器的国内品牌,不仅性能价格比高,而且全面支持中文和本地的技术支持和售后服务。
3
.从产品功能上来讲,则首选支持
SGC
强制
128
位加密的
SSL
证书,只有这样,才能保证用户使用各种版本浏览器都能实现
128
位高强度加密,因为
40
位和
56
位的加密都已经不安全了;其次,如果用户都是使用支持
128
位加密的浏览器的话,则网站可以选购验证实体身份和证书中显示单位名称的
SSL
证书,价格会便宜些。最后,如果网站对价格非常敏感,则可以考虑部署只验证域名所有权的
SSL
证书,此证书中不显示单位名称。
4
.对于电子商务网站,推荐采用
EV SSL
证书。此证书可以让
IE7
、火狐
3
等新版浏览器的地址栏变成绿色,明确地告诉网站访问者,此网站的身份是经过全球统一标准严格验证的,是可信的,绿色地址栏意味着绿色安全通道,可以增强客户信任度并促成更多的在线销售。