(计算机世界报 2009年04月06日第12期 44)
网站部署SSL证书的过程并非一帆风顺,同样面临许多风险和挑战。
■ 本报特约撰稿 王高华
国内CA机构颁发SSL证书的风险
目前,国内很多CA机构都在颁发SSL证书,但存在着一些问题,主要体现在以下几个方面。
首先,国内CA机构颁发的SSL证书很多没有通过微软的认证,这样,IE浏览器无法识别,并且会显示警告信息,如:IE7浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站”,这种警告使得用户不敢再访问此网站,也就不会有网站愿意购买国内CA机构颁发的SSL证书了。
其次,SSL证书中没有浏览器能自动识别和通过http访问的吊销列表,这意味着:如果证书颁发机构发现某个SSL证书有问题,或是欺诈网站,则可以吊销此证书,但由于浏览器无法识别有效的吊销列表因此无法实时监测到此证书是否已经吊销,这样问题会相当严重,这就相当于一个公司的营业执照被吊销而无法查实一样。比如,CNNIC颁发给客户的SSL证书的吊销列表一个是不可访问的,另一个是LDAP方式的吊销列表,是浏览器无法直接访问的,因此无法确认该SSL证书是否有效。
第三,数字证书类型会有错误。数字证书按产品功能分,主要分为:用于服务器端的SSL证书、用于客户端的个人证书和用于数字签名软件代码的代码签名证书。而有些国内CA机构颁发的SSL证书类型居然是用于客户端验证的个人证书,这会导致浏览器因无法识别正确的证书类型而无法实现SSL加密功能。
第四,证书主题不符合国际标准。证书主题信息一般会显示SSL证书域名(CN)、单位名称(O)、部门名称(OU)、所在国家(C)、所在省份(S)和所在市县(L),而许多国内CA机构颁发的SSL证书的证书申请单位名称O字段居然是CA的名称!按照X.509证书标准格式规定, SSL证书主题信息中的“O”字段只能写SSL证书申请单位的名称,而绝对不能写成CA机构的名词,这不仅不符合证书标准规范,而且会给CA机构带来法律风险和给SSL证书申请单位带来品牌伤害和在线信任问题。比如,国内某CA机构颁发给某银行的SSL证书的O字段是此CA机构的名称,而不是该银行的名称,按照X.509证书标准格式解释,该银行属于此CA机构。同样的问题也出现在CNNIC颁发给网易的SSL证书上,O字段应该显示网易公司名称,但居然显示“CNNIC SSL”,这意味着此网站*.help.163.com属于CNNIC,而不属于网易公司。不仅如此,有些还把L字段写成地址,S字段写成一串数字等等,都是不符合数字证书X.509国际标准的。
国际机构颁发SSL证书的风险
鉴于国内CA机构颁发的SSL证书不支持各种浏览器(浏览器因无法识别而显示警告信息),所以目前国内几乎所有重要的网上银行、网上证券、电子商务网站和电子政务系统全部部署的是国外CA机构颁发的SSL证书,这是有一定风险的,主要体现在以下三个方面。
一是,所有https://访问都是实时向证书颁发机构查询吊销列表的,一旦证书被吊销,SSL证书就不能正常工作了,也就是说不能起到加密的作用了。证书颁发机构(CA机构)根据用户的申请或其他原因可以随时吊销SSL证书。试想一下:如果由于某些原因,所有中国的网上银行的SSL证书被国外CA机构吊销,则中国的网银用户都无法使用网银了!如果连到美国的互联网线路中断,则用户无法访问位于美国的证书吊销列表,还是一样会影响到网银用户的正常使用!
其次,是中文单位名称问题。国外CA机构颁发的证书不支持中文单位名称,是普通网民看不懂的英文名称,这不仅不方便国内网民在线实时查看网站的真实身份,而且由于国内企业并没有标准的英文名称,而证书中显示的是翻译的英文名称,会存在一定的法律风险。
第三, 是技术支持问题:国外CA机构的身份验证和技术支持一般都在国外,对于国内用户而言,存在语言障碍和时差问题,这也不利于SSL证书的部署和可靠运行。
链接1
SSL证书的主要用途
目前只有部署SSL证书才能有效地保证网上机密信息的安全,SSL证书的主要用途有:
1.确保用户输入的登录密码能从用户电脑自动加密传输到服务器,从而大大降低用户密码被盗的可能性。有关统计表明:部署SSL证书后,可以降低80%的由于用户密码问题带来的客户服务工作量,这将为服务提供商降低客服成本。
2.确保用户安全登录后在线提交个人机密信息、公司机密信息和浏览其机密信息时能从用户电脑到网站服务器之间能自动加密传输,防止非法窃取和非法篡改。
3.让在线用户能在线查询网站服务器的真实身份,防止被假冒网站所欺诈。如假冒银行网站,用户只要查看SSL证书中的主题信息的O字段就能了解此网站并不是真正的银行网站; 而被列入黑名单的欺诈网站,IE7浏览器能实时帮助用户识别。
4.让在线用户放心,这点对于电子商务网站非常重要,因为部署了SSL证书,一方面表明服务提供商采取了可靠的技术措施来保证用户的机密信息安全;另一方面更重要的是,可以让用户了解到此网站的真实身份已经通过权威的第三方认证,网站身份是真实的,是现实世界合法存在的企业。
5.法律法规遵从:部署SSL证书就等于该网站已经按照有关法律法规要求采取了可靠的技术措施,这对于企业的健康发展非常重要。
链接2
部署SSL证书应注意哪些问题?
企业在选购和部署SSL证书时应该注意哪些问题呢?总结如下。
1.一定要部署支持所有浏览器的SSL证书,绝对不能为了省钱而使用自签证书!也就是说:不需要在用户的电脑上安装任何根证书就能让浏览器识别出网站已经部署了SSL证书,这点是部署SSL证书的最低要求,因为网站不可能要求所有用户都安装某个特定根证书,而用户在访问时IE7浏览器会直接拦截不支持浏览器的SSL证书,达不到部署SSL证书的目的。
2.要根据自己的业务需要选择合适的SSL证书(前提是支持浏览器的SSL证书),因为目前市场上有多个品牌可以选择,当然首选支持浏览器的国内品牌,不仅性能价格比高,而且全面支持中文和本地的技术支持和售后服务。
3.从产品功能上来讲,则首选支持SGC强制128位加密的SSL证书,只有这样,才能保证用户使用各种版本浏览器都能实现128位高强度加密,因为40位和56位的加密都已经不安全了;其次,如果用户都是使用支持128位加密的浏览器的话,则网站可以选购验证实体身份和证书中显示单位名称的SSL证书,价格会便宜些。最后,如果网站对价格非常敏感,则可以考虑部署只验证域名所有权的SSL证书,此证书中不显示单位名称。
4.对于电子商务网站,推荐采用EV SSL证书。此证书可以让IE7、火狐3等新版浏览器的地址栏变成绿色,明确地告诉网站访问者,此网站的身份是经过全球统一标准严格验证的,是可信的,绿色地址栏意味着绿色安全通道,可以增强客户信任度并促成更多的在线销售。
