SSL 協(xié)議和 SSL 證書已經(jīng)被廣泛用于幾百萬個(gè)銀行網(wǎng)站和電子商務(wù)網(wǎng)站來保護(hù)在線消費(fèi)者的交易安全。 SSL 證書由數(shù)字證書頒發(fā)機(jī)構(gòu) (CA) 頒發(fā)，消費(fèi)者已經(jīng)把瀏覽器中的安全鎖作為一種安全和信任的標(biāo)志。

信任 (Trust) 對(duì)于電子商務(wù)來講非常重要，是把網(wǎng)站訪問者變成購買者的最關(guān)鍵因素。目前互聯(lián)網(wǎng)的在線用戶數(shù)與電子商務(wù)交易的用戶數(shù)的比例非常非常低的主要原因是用戶 對(duì)在線交易缺乏信任，擔(dān)心會(huì)有欺詐，因?yàn)橛脩襞c網(wǎng)上所聲稱的商家并沒有見面，而消費(fèi)者在街上購物時(shí)看到了實(shí)實(shí)在在的商店就能放心地購物。如何讓消費(fèi)者也能 在線“看到”實(shí)實(shí)在在的商家呢？如何方便地讓在線消費(fèi)者也相信此網(wǎng)站的實(shí)體確實(shí)是一個(gè)實(shí)實(shí)在在的商家呢？

著名調(diào)查公司 Gartner 指出：在過去的一年來，有將近兩百萬美國人成為網(wǎng)上欺詐的受害者，并估計(jì)美國有 5700 萬互聯(lián)網(wǎng)用戶都收到過假冒知名網(wǎng)站或銀行的要求用戶更新個(gè)人信息的欺詐電子郵件，而其中有 180 萬用戶因此而泄露了機(jī)密的個(gè)人信息。

而現(xiàn)在，新標(biāo)準(zhǔn)的 EV SSL 證書的推出，就是給用戶一個(gè)非常直接的方式 ( 地址欄為綠色 ) 來表明他 / 她正在訪問的網(wǎng)站的實(shí)體確實(shí)是一個(gè)實(shí)實(shí)在在的商家，其真實(shí)身份已經(jīng)通過權(quán)威的第三方嚴(yán)格身份驗(yàn)證，用戶可以對(duì)其經(jīng)營實(shí)體的身份真實(shí)性放心。而商家贏得了用 戶的信任就贏得了生意。

* 信任才有商機(jī)

在過去的 10 年里，各種消費(fèi)者雜志、商業(yè)團(tuán)體和信息安全服務(wù)提供商都在不斷地教育人們一些在線安全的常識(shí)，所以，現(xiàn)在的許多消費(fèi)者都知道了瀏覽器下面的安全鎖的重要 性，用戶要在線購買您的產(chǎn)品就要讓他 / 她確實(shí)是安全的，是不會(huì)泄露其個(gè)人機(jī)密信息的，而部署了 SSL 證書就能讓用戶可以看到您是非常重視其安全的，并且確實(shí)他 / 她的機(jī)密信息是加密傳輸?shù)摹?/P>

但是，由于只驗(yàn)證域名的 SSL 證書的推出，使得用戶無法直觀地識(shí)別沒有驗(yàn)證身份的網(wǎng)站和已經(jīng)驗(yàn)證身份的網(wǎng)站有什么不同?，F(xiàn)在， EV SSL 證書的推出，就突出了沒有驗(yàn)證身份的網(wǎng)站和已經(jīng)驗(yàn)證身份的網(wǎng)站的不同，通過全球統(tǒng)一標(biāo)準(zhǔn)的嚴(yán)格身份驗(yàn)證的網(wǎng)站就會(huì)顯示為綠色，讓您的客戶相信他 / 她正在訪問的網(wǎng)站確實(shí)是所聲稱的單位，其真實(shí)身份是通過權(quán)威第三方驗(yàn)證的。如下圖所示：

瀏覽器的綠色安全通道，讓您的客戶信任您，信任才有商機(jī)！

* 不嚴(yán)格的身份驗(yàn)證不能帶來信任

建立在線信任的基礎(chǔ)是身份驗(yàn)證，一個(gè)用戶可以通過查看網(wǎng)站所部署的 SSL 證書來驗(yàn)證其真實(shí)身份。但是，由于只驗(yàn)證域名的 SSL 證書 (Low Assurance SSL) 的推出，使得只驗(yàn)證域名所有權(quán)的弱身份驗(yàn)證 SSL 證書與已經(jīng)人工嚴(yán)格驗(yàn)證身份的 SSL 證書 ((High Assurance SSL)) 表面看起來沒有什么不同，都同樣顯示一個(gè)安全鎖標(biāo)志，只有查看證書內(nèi)容才會(huì)發(fā)現(xiàn)不同，但普通用戶一般是不會(huì)查看證書內(nèi)容。

這帶來什么后果？這讓假冒網(wǎng)站鉆了空子，由于不驗(yàn)證真實(shí)身份使得一個(gè)假冒知名機(jī)構(gòu)的網(wǎng)站也一樣有 SSL 證書，一樣顯示一個(gè)安全鎖標(biāo)志。其最終的惡果是使人們失去了對(duì) SSL 證書的信任，同時(shí)也對(duì)電子商務(wù)的安全失去了信心。

* 數(shù)字證書頒發(fā)機(jī)構(gòu) (CA) 在電子商務(wù)中扮演的角色

數(shù)字證書頒發(fā)機(jī)構(gòu) (CA) 在互聯(lián)網(wǎng)安全生態(tài)鏈中扮演一個(gè)非常重要的角色，因?yàn)?CA 充當(dāng)可信任的第三方在驗(yàn)證申請(qǐng)者的真實(shí)身份后才頒發(fā) SSL 證書。 CA 需要有非常可靠的公鑰基礎(chǔ)設(shè)施 (PKI) 、身份驗(yàn)證專業(yè)人才和流程、客戶支持、安全評(píng)估、證書數(shù)據(jù)庫管理等等，這些系統(tǒng)還要支持不同的身份驗(yàn)證應(yīng)用需要 ( 如服務(wù)器驗(yàn)證、客戶端驗(yàn)證和軟件代碼驗(yàn)證等等 ) 。

可以說， CA 是保護(hù)最終用戶信息安全的第一道關(guān)，因?yàn)?CA  在頒發(fā)證書之前對(duì)申請(qǐng)證書的網(wǎng)站進(jìn)行了身份驗(yàn)證，而如果 CA 沒有進(jìn)行嚴(yán)格的身份驗(yàn)證就會(huì)給互聯(lián)網(wǎng)用戶帶來安全威脅，主要包括：

(1) 如果沒有驗(yàn)證申請(qǐng)單位的真實(shí)身份或沒有檢查申請(qǐng)單位是否有權(quán)使用此域名，則惡意假冒者有可能使用 SSL 證書來欺騙用戶此網(wǎng)站就是 SSL 證書中所指的單位的真實(shí)網(wǎng)站。

(2) 如果不驗(yàn)證申請(qǐng)單位是否存在 ( 不驗(yàn)證營業(yè)執(zhí)照 ) ，則網(wǎng)站上所聲稱的公司名稱可能就是一個(gè)實(shí)際上不存在的公司 ( 即：沒有合法注冊(cè)的公司 ) ；

(3) 如果不驗(yàn)證申請(qǐng)人的身份和驗(yàn)證是否授權(quán)代表某機(jī)構(gòu)申請(qǐng)證書，則惡意假冒者極有可能使用一個(gè)被假冒方的營業(yè)執(zhí)照來申請(qǐng)證書，以達(dá)到假冒和欺詐的目的。

目前，證書頒發(fā)機(jī)構(gòu)一般在只驗(yàn)證域名所有權(quán)的 SSL 證書 ( 超快 SSL) 中不顯示單位名稱，以免被非法利用，而為了防止第 (3) 種情況，一般都要求除了提供營業(yè)執(zhí)照外，還需要提供第三方證明文件和電話確認(rèn)。

但由于目前的各個(gè) CA 的身份驗(yàn)證過程都是不一樣的，嚴(yán)格程度也不一樣，所以，全球領(lǐng)先的各大數(shù)字證書頒發(fā)機(jī)構(gòu)才發(fā)起制定了一個(gè)全球統(tǒng)一的、更加嚴(yán)格的身份驗(yàn)證標(biāo)準(zhǔn)來頒發(fā) EV SSL 證書，從而為最終用戶的信息安全嚴(yán)格把好第一道關(guān)。并聯(lián)合各大瀏覽器開發(fā)商給予 EV SSL 證書不同于其他 SSL 證書的顯示方式 ( 地址欄變綠 ) ，讓最終用戶可以非常直觀地知道正在訪問的網(wǎng)站是通過權(quán)威的數(shù)字證書頒發(fā)機(jī)構(gòu)嚴(yán)格身份驗(yàn)證的真實(shí)存在的經(jīng)營實(shí)體，從而放心地從事在線交易。

根據(jù)09年最新的Netcraft結(jié)果，全球領(lǐng)先網(wǎng)站共部署13，000余個(gè)EV SSL 證書，其中，超過10，000個(gè)是由威瑞信頒發(fā)的。經(jīng)驗(yàn)證，EV SSL可以有效降低網(wǎng)上訂單的放棄率，提高成交率。通過使用EV SSL，交易量提高可達(dá)27%，網(wǎng)上收入提高50%。另外，電子商務(wù)網(wǎng)站Virtual Sheet Music在采用EV SSL后，銷售量提高了13%，效果十分顯著。更為可喜的是，目前VeriSign已與天威誠信數(shù)字認(rèn)證中心（iTrusChina）攜手推進(jìn)國際上最為先進(jìn)的綠色地址欄EVSSL證書在國內(nèi)的發(fā)展，共同抵御欺詐釣魚網(wǎng)站對(duì)網(wǎng)民的直接損害。