安全加密、身份驗(yàn)證缺一不可

經(jīng)由第三方CA數(shù)字認(rèn)證中心頒發(fā)的SSL服務(wù)器證書(shū)作為一項(xiàng)成熟的安全技術(shù)被普遍應(yīng)用互聯(lián)網(wǎng)上。為什么數(shù)字證書(shū)要有第三方CA數(shù)字認(rèn)證中心頒發(fā)？這就好比我們的身份證，只有公安局才有資格制作個(gè)人身份證，因?yàn)樗怯泄帕Φ恼块T(mén)。在虛擬的互聯(lián)網(wǎng)上，SSL服務(wù)器證書(shū)作為一種安全手段，在商業(yè)上就需要一個(gè)大家公信的第三方組織提供信任服務(wù)，承擔(dān)起發(fā)制作和發(fā)放數(shù)字證書(shū)工作。

尤其目前電子商務(wù)交易活動(dòng)的頻繁，安全風(fēng)險(xiǎn)問(wèn)題日益突出。當(dāng)我們進(jìn)行在線交易時(shí)，僅僅應(yīng)用加密還遠(yuǎn)遠(yuǎn)不夠，我們還需要在客戶(hù)和合作伙伴間建立起彼此互信，因此身份的確認(rèn)也就必不可少。我們?cè)谶M(jìn)行交易時(shí)，我們必須回答如下問(wèn)題：

1、 你是誰(shuí)？（身份信息要求）
2、 你屬于哪個(gè)組織？你是一個(gè)可信的合作伙伴嗎？（組織是否可以信任）
3、 你怎樣證實(shí)你的身份（經(jīng)過(guò)誰(shuí)的驗(yàn)證）

在實(shí)際操作過(guò)程中，一些CA機(jī)構(gòu)認(rèn)為提供SSL加密就足以確保網(wǎng)站的安全性幫助其建立企業(yè)與客戶(hù)間的信任。但實(shí)際情況并非如此，高端服務(wù)器證書(shū)（經(jīng)過(guò)身份鑒證數(shù)字證書(shū)）和低端服務(wù)器證書(shū)（未經(jīng)身份驗(yàn)證的服務(wù)器證書(shū)）間在建立客戶(hù)信心上在巨大差異。國(guó)際知名數(shù)字的數(shù)字證書(shū)服務(wù)提供商VeriSign從成立以來(lái)只提供經(jīng)由嚴(yán)格身份驗(yàn)證的服務(wù)器證書(shū)，配備了VeriSign服務(wù)器證書(shū)的網(wǎng)站，不但得到了安全加密保護(hù)，更可以在網(wǎng)站上出示VeriSign安全站點(diǎn)簽章標(biāo)志，客戶(hù)可以通過(guò)點(diǎn)擊該標(biāo)志實(shí)時(shí)查看數(shù)字證書(shū)的狀態(tài)、數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)及網(wǎng)站持有者的詳細(xì)信息。

這些真實(shí)詳細(xì)網(wǎng)站信息對(duì)于網(wǎng)民來(lái)說(shuō)意義重大，它向外部傳遞了一個(gè)一致的信息，那就是該網(wǎng)站身份可信并且交易安全。也正是因?yàn)閂eriSign一貫嚴(yán)格的身份鑒證策略，只提供高端服務(wù)器證書(shū)，成就了VeriSign站點(diǎn)簽章標(biāo)志成為了當(dāng)前互聯(lián)網(wǎng)上最為可信的安全站點(diǎn)標(biāo)志。每天超過(guò)1.5億次站點(diǎn)簽章標(biāo)志的瀏覽次數(shù)充分的驗(yàn)證了上述問(wèn)題。

如何獲取一張經(jīng)過(guò)嚴(yán)格身份驗(yàn)證的SSL服務(wù)器證書(shū)

不同的CA數(shù)字證書(shū)機(jī)構(gòu)在身份鑒別上有著不同的策略，作為行業(yè)的領(lǐng)先者VeriSign一貫嚴(yán)格的身份鑒證，其身份鑒證方式在多年來(lái)的實(shí)踐中經(jīng)受住了充分的考驗(yàn)，其證書(shū)在整個(gè)互聯(lián)網(wǎng)上擁有者極高的認(rèn)知度。要想獲得一張數(shù)字證書(shū)，申請(qǐng)者至少要提交如下資料：

1、 提交組織真實(shí)信息已證實(shí)組織是合法成立的機(jī)構(gòu)
2、 提交信息以證明組織是該域名的合法擁有者，服務(wù)器證書(shū)有權(quán)使用該域名地址
3、 驗(yàn)證SSL服務(wù)器證書(shū)申請(qǐng)者作為企業(yè)的正式成員的真實(shí)身份并被組織授權(quán)申請(qǐng)證書(shū)

低端服務(wù)器證書(shū)（未經(jīng)身份驗(yàn)證）的安全威脅

中國(guó)市場(chǎng)上存在的低端SSL服務(wù)器證書(shū)與國(guó)際上的低端證書(shū)稍有差別，或準(zhǔn)確地說(shuō)是不入流的服務(wù)器證書(shū)，該類(lèi)證書(shū)被作為一項(xiàng)安全技術(shù)開(kāi)發(fā)出來(lái)，證書(shū)可能是網(wǎng)站自行發(fā)放的，身份驗(yàn)證及加密強(qiáng)度均無(wú)法得到有效保障，我們的瀏覽器一般會(huì)自動(dòng)感應(yīng)該類(lèi)證書(shū)，并探出安全警告提示，提醒訪問(wèn)者注意網(wǎng)站安全。

因此，該類(lèi)證書(shū)的市場(chǎng)份額并不太，并在日益萎縮。這里我們就暫不考慮其影響，我們常說(shuō)的低端服務(wù)器證書(shū)，指的是依然為可信第三方CA數(shù)字證書(shū)機(jī)構(gòu)頒發(fā)的，只是未經(jīng)過(guò)證書(shū)為經(jīng)過(guò)身份驗(yàn)證。在IE7.0以前的版本中，如果數(shù)字證書(shū)來(lái)自可信的第三方數(shù)字證書(shū)機(jī)構(gòu)，瀏覽器將不會(huì)彈出安全提示告知用戶(hù)網(wǎng)站存在安全威脅，不管是高端的服務(wù)器證書(shū)還是低端的服務(wù)器證書(shū)均會(huì)顯示“鎖型安全標(biāo)志”，除非我們點(diǎn)擊小鎖或安全站點(diǎn)標(biāo)志才可以驗(yàn)證網(wǎng)站的詳細(xì)身份信息。

如果一個(gè)假冒網(wǎng)站申請(qǐng)了一個(gè)與仿冒網(wǎng)站相似的域名，并了購(gòu)買(mǎi)低端服務(wù)器證書(shū)（只驗(yàn)證域名信息，10分鐘完成簽發(fā)），網(wǎng)站同樣會(huì)顯示安全鎖型標(biāo)志，再加上以假亂真的頁(yè)面，致使釣魚(yú)網(wǎng)站依然猖獗，一旦輸入隱私信息，如賬戶(hù)或密碼信息，后果依然嚴(yán)重。