部署SSL证书中的风险
2024-05-23 19:10:00
国内CA机构颁发SSL证书的风险<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
目前,国内很多CA机构都在颁发SSL证书,但存在着一些问题,主要体现在以下几个方面。
首先,国内CA机构颁发的SSL证书很多没有通过微软的认证,这样,IE浏览器无法识别,并且会显示警告信息,如:IE7浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站”,这种警告使得用户不敢再访问此网站,也就不会有网站愿意购买国内CA机构颁发的SSL证书了。
其次,SSL证书中没有浏览器能自动识别和通过http访问的吊销列表,这意味着:如果证书颁发机构发现某个SSL证书有问题,或是欺诈网站,则可以吊销此证书,但由于浏览器无法识别有效的吊销列表因此无法实时监测到此证书是否已经吊销,这样问题会相当严重,这就相当于一个公司的营业执照被吊销而无法查实一样。比如,CNNIC颁发给客户的SSL证书的吊销列表一个是不可访问的,另一个是LDAP方式的吊销列表,是浏览器无法直接访问的,因此无法确认该SSL证书是否有效。
第三,数字证书类型会有错误。数字证书按产品功能分,主要分为:用于服务器端的SSL证书、用于客户端的个人证书和用于数字签名软件代码的代码签名证书。而有些国内CA机构颁发的SSL证书类型居然是用于客户端验证的个人证书,这会导致浏览器因无法识别正确的证书类型而无法实现SSL加密功能。
第四,证书主题不符合国际标准。证书主题信息一般会显示SSL证书域名(CN)、单位名称(O)、部门名称(OU)、所在国家(C)、所在省份(S)和所在市县(L),而许多国内CA机构颁发的SSL证书的证书申请单位名称O字段居然是CA的名称!按照X.509证书标准格式规定, SSL证书主题信息中的“O”字段只能写SSL证书申请单位的名称,而绝对不能写成CA机构的名词,这不仅不符合证书标准规范,而且会给CA机构带来法律风险和给SSL证书申请单位带来品牌伤害和在线信任问题。比如,国内某CA机构颁发给某银行的SSL证书的O字段是此CA机构的名称,而不是该银行的名称,按照X.509证书标准格式解释,该银行属于此CA机构。同样的问题也出现在CNNIC颁发给网易的SSL证书上,O字段应该显示网易公司名称,但居然显示“CNNIC SSL”,这意味着此网站*.help.163.com属于CNNIC,而不属于网易公司。不仅如此,有些还把L字段写成地址,S字段写成一串数字等等,都是不符合数字证书X.509国际标准的。
国际机构颁发SSL证书的风险
鉴于国内CA机构颁发的SSL证书不支持各种浏览器(浏览器因无法识别而显示警告信息),所以目前国内几乎所有重要的网上银行、网上证券、电子商务网站和电子政务系统全部部署的是国外CA机构颁发的SSL证书,这是有一定风险的,主要体现在以下三个方面。
一是,所有https://访问都是实时向证书颁发机构查询吊销列表的,一旦证书被吊销,SSL证书就不能正常工作了,也就是说不能起到加密的作用了。证书颁发机构(CA机构)根据用户的申请或其他原因可以随时吊销SSL证书。试想一下:如果由于某些原因,所有中国的网上银行的SSL证书被国外CA机构吊销,则中国的网银用户都无法使用网银了!如果连到美国的互联网线路中断,则用户无法访问位于美国的证书吊销列表,还是一样会影响到网银用户的正常使用!
其次,是中文单位名称问题。国外CA机构颁发的证书不支持中文单位名称,是普通网民看不懂的英文名称,这不仅不方便国内网民在线实时查看网站的真实身份,而且由于国内企业并没有标准的英文名称,而证书中显示的是翻译的英文名称,会存在一定的法律风险。
第三, 是技术支持问题:国外CA机构的身份验证和技术支持一般都在国外,对于国内用户而言,存在语言障碍和时差问题,这也不利于SSL证书的部署和可靠运行。
SSL证书的主要用途
目前只有部署SSL证书才能有效地保证网上机密信息的安全,SSL证书的主要用途有:
1.确保用户输入的登录密码能从用户电脑自动加密传输到服务器,从而大大降低用户密码被盗的可能性。有关统计表明:部署SSL证书后,可以降低80%的由于用户密码问题带来的客户服务工作量,这将为服务提供商降低客服成本。
2.确保用户安全登录后在线提交个人机密信息、公司机密信息和浏览其机密信息时能从用户电脑到网站服务器之间能自动加密传输,防止非法窃取和非法篡改。
3.让在线用户能在线查询网站服务器的真实身份,防止被假冒网站所欺诈。如假冒银行网站,用户只要查看SSL证书中的主题信息的O字段就能了解此网站并不是真正的银行网站; 而被列入黑名单的欺诈网站,IE7浏览器能实时帮助用户识别。
4.让在线用户放心,这点对于电子商务网站非常重要,因为部署了SSL证书,一方面表明服务提供商采取了可靠的技术措施来保证用户的机密信息安全;另一方面更重要的是,可以让用户了解到此网站的真实身份已经通过权威的第三方认证,网站身份是真实的,是现实世界合法存在的企业。
5.法律法规遵从:部署SSL证书就等于该网站已经按照有关法律法规要求采取了可靠的技术措施,这对于企业的健康发展非常重要。
部署SSL证书应注意哪些问题?
企业在选购和部署SSL证书时应该注意哪些问题呢?总结如下。
1.一定要部署支持所有浏览器的SSL证书,绝对不能为了省钱而使用自签证书!也就是说:不需要在用户的电脑上安装任何根证书就能让浏览器识别出网站已经部署了SSL证书,这点是部署SSL证书的最低要求,因为网站不可能要求所有用户都安装某个特定根证书,而用户在访问时IE7浏览器会直接拦截不支持浏览器的SSL证书,达不到部署SSL证书的目的。
2.要根据自己的业务需要选择合适的SSL证书(前提是支持浏览器的SSL证书),因为目前市场上有多个品牌可以选择,当然首选支持浏览器的国内品牌,不仅性能价格比高,而且全面支持中文和本地的技术支持和售后服务。
3.从产品功能上来讲,则首选支持SGC强制128位加密的SSL证书,只有这样,才能保证用户使用各种版本浏览器都能实现128位高强度加密,因为40位和56位的加密都已经不安全了;其次,如果用户都是使用支持128位加密的浏览器的话,则网站可以选购验证实体身份和证书中显示单位名称的SSL证书,价格会便宜些。最后,如果网站对价格非常敏感,则可以考虑部署只验证域名所有权的SSL证书,此证书中不显示单位名称。
4.对于电子商务网站,推荐采用EV SSL证书。此证书可以让IE7、火狐3等新版浏览器的地址栏变成绿色,明确地告诉网站访问者,此网站的身份是经过全球统一标准严格验证的,是可信的,绿色地址栏意味着绿色安全通道,可以增强客户信任度并促成更多的在线销售。
转载于:https://blog.51cto.com/qingwang/149231
部署SSL证书中的风险相关推荐
- 只有部署 SSL 证书才能保护网上隐私信息安全
只有部署 SSL 证书才能保护网上隐私信息安全 (发布时间:2009-3-18, 2009年第2号,总第68号) UPDATE: 此文内容刊登在<计算机世界>报(2009年04月06日第 ...
- ssl证书是什么?为什么需要部署ssl证书?
什么是SSL证书?SSL证书是一种提供SSL协议的证书,它通过在客户端浏览器和Web服务器之间建立SSL安全通道对网络传输数据进行加密,防止数据被截获.SSL证书包括公钥和私钥:公钥主要用于信息加密, ...
- php iis6 安装ssl证书,在IIS下部署SSL证书实现HTTPS
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版.谷歌已经制定了一项长远的计划,它的最终目标是将所有通过HTTP协议呈现的网页标为"不安全",对于站长来说,部署SS ...
- Ubuntu系统Apache2部署SSL证书
Ubuntu系统Apache2部署SSL证书 前提条件 已从SSL证书控制台下载Apache服务器证书 步骤 在apache2目录下创建SSL目录 mkdir /etc/apache2/ssl 使用命 ...
- CentOS系统Tomcat 8.5/9部署SSL证书
CentOS系统Tomcat 8.5/9部署SSL证书 本页目录 环境准备 前提条件 操作步骤 后续操作 本文档介绍了CentOS系统下Tomcat 8.5或9部署SSL证书的操作说明. 环境准备 操 ...
- 在Postfix邮件服务器上部署SSL证书
在Postfix邮件服务器上部署SSL证书 # 前提条件 # 如何部署 # 配置文件 # 启动SMTPS服务 # 重启Postfix服务器 # 更多信息 Postfix是一款基于sendmail改良而 ...
- 部署SSL证书,为您的网站保驾护航
随着<网络安全法>的出台和实行,使得互联网安全上升到国家安全的高度,与此同时,越来越多的主流网站都开始部署SSL证书对网站隐私和数据传输加以保护. SSL证书是数字证书的一种,类似于驾驶证 ...
- 重视网络安全,从部署SSL证书开始
什么是SSL证书?通俗的讲,SSL证书就是搜索网站时网址前面出现的那把"锁"(不同浏览器显示略有不同,有些浏览器显示绿色地址栏).专业来说,SSL证书是数字证书的一种,采用安全套接 ...
- SSL证书中的128位加密和256位加密有何区别?
大家在申请SSL证书的时候最先关注的应该是价格问题,其次才是品牌.类型.服务等等,对于SSL加密估计很少有朋友会去仔细查看或者辨别.下面就带大家来了解一下SSL证书中的128位加密和256位加密的区别 ...
最新文章
- java demo在哪里下载_[Java教程]Java学习 (一)、下载,配置环境变量,第一个demo...
- chrome浏览器模拟手机 地理定位
- 北京 | 一场产品经理必听的实战交流会!
- 树——平衡二叉树插入和查找的JAVA实现
- “越级”的两年后,科技潮牌realme与年轻人进行了一次深度对话
- java char i=2+#039;2#039;;_图说String(三)String中#039;+#039;和StringBuilder的区别
- 190727每日一句
- win10安装secureCRT8.1.4破解
- 域名讲解(一)域名基础概念
- 奥克兰计算机科学专业世界排名,2020年新西兰计算机科学专业大学排名
- RHCE(五)HTTP、SSL协议综合实验
- Win10 企业版 2016 长期服务版激活
- 小青龙的Java面试笔记
- (PC+WAP)织梦模板茶几茶盘类网站
- 机器学习基石06:泛化理论(Theory of Generalization)
- 第2节--深度学习基础介绍-机器学习--课程介绍(下)
- chromium中的GN构建系统
- 千里马 android framework之MotionEvent.ACTION_CANCEL怎么产生-讨厌的android触摸面试题
- 耶鲁大学 博弈论(Game Theory) 笔记6-纳什均衡之纳什均衡之伯川德模型与选民投票
- 一千瓶酒有一瓶酒有毒药,问你最少用多少只老鼠可以找出那瓶毒酒? 老鼠毒发的时间在两小时内,要求在两个小时内找出毒酒。