您的位置: 首页 > 趣科技 >文章

天下没有“免费的午餐”,申请SSL证书选择CA很关键!-ITBEAR科技资讯

  如今,越来越多的网站开始自由选择申请人SSL证书对用户隐私和数据安全加以维护,而免费SSL证书的经常出现则让很多网站运营者偷着乐了一把。但这样的“免费午餐”是不是真的占到了低廉呢?

  近年来随着https加密的普及,在我们的潜意识中早已构成了这样的理解:https可以防止“钓鱼”网站,网站有https标识就指出已经进行了https加密,可以安心地访问,甚至是输入账号密码等脆弱信息了。但看到下面这个例子,你就会明白“免费午餐”不爱吃也不能不吃了。

  上面这个Google链接看起来很安全,也有https安全标识,但实际却是一个冒充谷歌Play商店的钓鱼网站。仔细观察,你会发现网址中包括两个“.com”,而谷歌Play商店的真实网址是https://play.google.com/store。为什么“钓鱼”网站也能表明https?

  权威CA机构天威诚信技术负责人提及,SSL证书是由数字证书管理机构(全称CA)签发的,为了提高SSL证书的普及率和自身产品市场占有率,部分CA机构也对外提供免费的SSL证书。当网站申请人SSL证书时,通常会要求网站递交身份资质文件(如企业营业执照、组织机构代码证等),经过CA人工审查通过并支付一定费用后才可授予。

  而免费SSL证书往往通过程序自动给定申请人或机构信息和所申请人的域名信息,只要给定一致就能获得证书,不必须人工审核。这类证书只能验证域名所有权,无法对的组织进行验证,即无法检验服务器身份,因此留给了相当大的安全漏洞和隐患。黑客只需检验域名信息就能轻松取得证书,从而为自己披上看起来可信的外衣。而此时的https仍可起到加密传输的作用,但信息传输的目的却由真实网站的服务器变成了黑客的“钓鱼”服务器,信息加密也就如同皇帝的新衣,黑客抓取用户脆弱信息就显得探囊取物般轻而易举。

  除了黑客“钓鱼”的风险外,免费SSL证书在用于时还有诸多限制。比如:免费证书不能绑定单个域名、不反对通配符域名等。同样的,这类“免费的午餐”涉及服务也会大打折扣,大多数免费的SSL证书都由用户自行加装,无法获取后期服务和技术支持,在证书遇到问题时,也无法及时得到解决问题。另外,某些品牌的免费SSL证书有效期过短,每三个月就要更新一次,到期后还要自己申请人,很多用户很容易就会记得续期。

  在目前免费证书身份验证机制还不完备的情况下,出于对用户、网站自身安全的考量,管理员不应避免使用免费SSL证书,尤其是大型企业或机构网站、牵涉到用户隐私及金融交易的电商类平台更无法选择“免费的午餐”。比如网站安装了Digicert/Symantec授予的OV型SSL证书,当你页面地址栏中的锁型图标时,显示网站身份经DigiCert认证,解释该网站证书、身份真实可信。

  总的来说,免费SSL证书虽然申请流程非常简单,但仅支持加密功能,无法验证服务器身份,由此引发的潜在威胁较大,并不建议企业机构使用。

  在选配付费SSL证书时,应尽量自由选择天威诚信这类权威的CA机构。这些经过国家接纳的CA机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,分担公钥体系中公钥的合法性检验的责任。而选择免费证书的用户,常常在对密钥的留存和后续的确保、更新、赔偿金等服务中遭遇问题。因此,选择一个具有技术支持能力、拥有完善服务体系、不具备良好市场信誉度和口碑的CA机构就变得尤为重要。需要特别强调的是,https网站的整体安全性依然远高于非https网站,而大型网站一定不要自由选择“免费”午餐,用户在访问网站时也一定要细心分辨SSL证书,这样才能更有效的确保隐私安全。

特别警告:本网内容转载自其他媒体,目的在于传送更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不不作任何保证或允诺,并请求自行核实涉及内容。本站不分担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请求及时联系我们,本站将会在24小时内处理完毕。