爭(zhēng)論總體來(lái)自三個(gè)方面。一方面是用戶，大多數(shù)用戶對(duì)數(shù)字證書(shū)的了解不多，但至少都知道數(shù)字證書(shū)和數(shù)字簽名是一種安全和信任的表示，如果數(shù)字證書(shū)和數(shù)字簽名都不能相信，那么我們?cè)诨ヂ?lián)網(wǎng)上如何識(shí)別惡意軟件和網(wǎng)站呢？另一方面來(lái)自安全軟件廠商，絕大多數(shù)安全軟件廠商都會(huì)采用數(shù)字證書(shū)對(duì)自己的軟件進(jìn)行簽名，一來(lái)是未來(lái)保護(hù)自己的著作權(quán)不被侵犯，二來(lái)是為了塑造在用戶心中的信任感。但如果數(shù)字簽名不可信，那么軟件市場(chǎng)就會(huì)陷入一個(gè)“劣幣驅(qū)除良幣”的局面，大量?jī)?yōu)質(zhì)軟件和可信程序會(huì)因?yàn)樯贁?shù)惡意軟件對(duì)用戶的侵害，也喪失用戶的信任。第三方面是權(quán)威的數(shù)字認(rèn)證中心，他們是數(shù)字證書(shū)的頒發(fā)機(jī)構(gòu)。對(duì)于360安全衛(wèi)士的指責(zé)他們大多感到很無(wú)奈，畢竟是極個(gè)別沒(méi)有資質(zhì)的廠商頒發(fā)的數(shù)字證書(shū)造成了這種局面，而這對(duì)整個(gè)行業(yè)的可信度都產(chǎn)生了極壞的影響。問(wèn)題的焦點(diǎn)在于，“熱鍵科技（深圳）有限公司”和“深圳市沃通電子商務(wù)服務(wù)有限公司”究竟是誰(shuí)，他們是否能代表整個(gè)數(shù)字認(rèn)證行業(yè)，他們的行為是如何產(chǎn)生的，會(huì)對(duì)用戶和軟件廠商帶來(lái)怎樣的危害？

 

據(jù)筆者了解，數(shù)字認(rèn)證行業(yè)（CA）屬于互聯(lián)網(wǎng)基礎(chǔ)行業(yè)，其與域名、主機(jī)服務(wù)和網(wǎng)絡(luò)安全一樣是構(gòu)成目前互聯(lián)網(wǎng)安全與信任體系的支柱。從法律上說(shuō)，在國(guó)內(nèi)要經(jīng)營(yíng)數(shù)字認(rèn)證業(yè)務(wù)，必須通過(guò)國(guó)家工業(yè)與信息化部的批準(zhǔn)，而目前國(guó)內(nèi)具備這種資格的公司僅有20余家，其中絕大部分是地方CA，僅有北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司（天威誠(chéng)信數(shù)字認(rèn)證中心）等少數(shù)幾家CA機(jī)構(gòu)具有全國(guó)運(yùn)營(yíng)的能力——熱鍵科技和沃通電子均不在此列。

 

那么，這些沒(méi)有資質(zhì)的公司頒發(fā)的數(shù)字證書(shū)會(huì)帶來(lái)什么問(wèn)題呢？數(shù)字證書(shū)并不是一種單純的商品，它是一整套互聯(lián)網(wǎng)信任體系的具體表現(xiàn)形式，其背后除了需要強(qiáng)大的技術(shù)支撐外，更需要來(lái)自操作系統(tǒng)、瀏覽器廠商的支持，尤其是需要一套專業(yè)、完整、嚴(yán)謹(jǐn)、公正的鑒證服務(wù)體系。沒(méi)有這些，數(shù)字證書(shū)不過(guò)是一個(gè)簡(jiǎn)單的程序，它就和我們現(xiàn)實(shí)生活中“東南亞辦證集團(tuán)”辦理的各類證書(shū)一樣，不具備任何可信度和法律保障。如果放任這類非授權(quán)CA機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)，那么將會(huì)讓惡意軟件橫行，互聯(lián)網(wǎng)信任體系崩潰，進(jìn)而讓互聯(lián)網(wǎng)無(wú)法承載任何權(quán)威信息傳播和電子交易。

 

熱鍵科技和沃通電子頒發(fā)的證書(shū)大部分有兩種來(lái)源，一種是自己開(kāi)發(fā)的數(shù)字證書(shū)，他們沒(méi)有操作系統(tǒng)和瀏覽器根內(nèi)置，不被操作系統(tǒng)和瀏覽器信任，會(huì)頻繁報(bào)錯(cuò)。這類證書(shū)并不可怕，真正可怕的是如沃通電子從國(guó)外瀕臨倒閉的CA廠商購(gòu)入的數(shù)字證書(shū)，經(jīng)過(guò)重新技術(shù)和市場(chǎng)的包裝，再以知名證書(shū)品牌的名義向市場(chǎng)兜售，而且價(jià)格低得驚人。這類證書(shū)可以輕易繞過(guò)操作系統(tǒng)和瀏覽器，給用戶帶來(lái)不可挽回的重大損失。

 

那么我們應(yīng)該如何識(shí)別數(shù)字證書(shū)，我們又該信任哪些數(shù)字證書(shū)呢？數(shù)字證書(shū)的種類很多，我們無(wú)法一一闡述，以這次曝光嚴(yán)重的代碼簽名證書(shū)和SSL服務(wù)器證書(shū)來(lái)看，無(wú)論是用戶還是網(wǎng)站、軟件公司的采購(gòu)人員，都需要注意以下幾點(diǎn)：

 

1、   選擇國(guó)際知名的產(chǎn)品，這些產(chǎn)品在全球通用，獲得全球信任保障體系的支撐，如Verisign（國(guó)內(nèi)的銀行基本上都是用這個(gè)牌子的證書(shū)）、Geotrust、Thawte（google用的這個(gè)）等品牌；

 

2、   選擇這些品牌在國(guó)內(nèi)的授權(quán)代理機(jī)構(gòu)購(gòu)買，這些授權(quán)機(jī)構(gòu)基本上都是國(guó)家批準(zhǔn)的CA中心，他們具有完善、專業(yè)的鑒證流程和團(tuán)隊(duì)，是數(shù)字證書(shū)可信度的基本保障，如Verisign在國(guó)內(nèi)的首要合作伙伴天威誠(chéng)信；

 

3、   不要因?yàn)榈土膬r(jià)格而選擇一些沒(méi)有資質(zhì)的公司和其所頒發(fā)的數(shù)字證書(shū)，貪一時(shí)的小便宜將會(huì)對(duì)公司、產(chǎn)品的信任度帶來(lái)極大的危害；

 

4、   用戶在安裝軟件的過(guò)程中一定要學(xué)會(huì)識(shí)別數(shù)字證書(shū)和數(shù)字簽名，避免安裝一些沒(méi)有數(shù)字證書(shū)或數(shù)字證書(shū)不可信的軟件產(chǎn)品，給自己帶來(lái)?yè)p失。

 

經(jīng)過(guò)十年的發(fā)展，中國(guó)互聯(lián)網(wǎng)行業(yè)煥發(fā)出前所未有的活力和生機(jī)，而互聯(lián)網(wǎng)的信任環(huán)境又非常脆弱。網(wǎng)絡(luò)誠(chéng)信環(huán)境的建設(shè)需要來(lái)自各方的共同努力，尤其是相關(guān)安全、信任服務(wù)廠商的自律。