如今,越來越多的網(wǎng)站開始選擇申請SSL 證書對用戶隱私和數(shù)據(jù)安全加以保護,而免費SSL證書的出現(xiàn)則讓很多網(wǎng)站運營者偷著樂了一把。但這樣的“免費午餐”是不是真的占到了便宜呢?
近年來隨著https加密的普及,在我們的潛意識中早已形成了這樣的認知:https可以防止“釣魚”網(wǎng)站,網(wǎng)站有https標識就表明已經(jīng)進行了https加密,可以放心地訪問,甚至是輸入賬號密碼等敏感信息了。但看到下面這個例子,你就會明白“免費午餐”不好吃也不能吃了。
上面這個Google鏈接看似很安全,也有https安全標識,但實際卻是一個假冒谷歌Play商店的釣魚網(wǎng)站。仔細觀察,你會發(fā)現(xiàn)網(wǎng)址中包含兩個“.com”,而谷歌Play商店的真實網(wǎng)址是https://play.google.com/store。為什么“釣魚”網(wǎng)站也能顯示https?
權(quán)威CA機構(gòu)天威誠信技術(shù)負責人提到,SSL證書是由數(shù)字證書管理機構(gòu)(簡稱CA)簽發(fā)的,為了提升SSL證書的普及率和自身產(chǎn)品市場占有率,部分CA機構(gòu)也對外提供免費的SSL證書。當網(wǎng)站申請SSL證書時,通常會要求網(wǎng)站提交身份資質(zhì)文件(如企業(yè)營業(yè)執(zhí)照、組織機構(gòu)代碼證等),經(jīng)過CA人工審核通過并支付一定費用后才可頒發(fā)。
而免費SSL證書往往通過程序自動匹配申請人或機構(gòu)信息和所申請的域名信息,只要匹配一致就能獲得證書,不需要人工審核。這類證書只能驗證域名所有權(quán),無法對組織進行驗證,即無法驗證服務(wù)器身份,因此留下了很大的安全漏洞和隱患。黑客只需驗證域名信息就能輕松獲得證書,從而為自己披上看似可信的外衣。而此時的https仍可起到加密傳輸?shù)淖饔?,但信息傳輸?shù)哪康膮s由真實網(wǎng)站的服務(wù)器變成了黑客的“釣魚”服務(wù)器,信息加密也就如同皇帝的新衣,黑客抓取用戶敏感信息就變得探囊取物般輕而易舉。
除了黑客“釣魚”的風險外,免費SSL證書在使用時還有諸多限制。比如:免費證書只能綁定單個域名、不支持通配符域名等。同樣的,這類“免費的午餐”相關(guān)服務(wù)也會大打折扣,大多數(shù)免費的SSL證書都由用戶自行安裝,無法提供后期服務(wù)和技術(shù)支持,在證書遇到問題時,也無法及時得到解決。另外,某些品牌的免費SSL證書有效期過短,每三個月就要更新一次,到期后還要自己申請,很多用戶很容易就會忘記續(xù)期。
在目前免費證書身份驗證機制還不完善的情況下,出于對用戶、網(wǎng)站自身安全的考量,管理員應(yīng)避免使用免費SSL證書,尤其是大型企業(yè)或機構(gòu)網(wǎng)站、涉及用戶隱私及金融交易的電商類平臺更不能選擇“免費的午餐”。比如網(wǎng)站安裝了Digicert/Symantec頒發(fā)的OV型SSL證書,當你點擊地址欄中的鎖型圖標時,顯示網(wǎng)站身份經(jīng)DigiCert認證,說明該網(wǎng)站證書、身份真實可靠。
總的來說,免費SSL證書雖然申請流程簡單,但僅支持加密功能,無法驗證服務(wù)器身份,由此引發(fā)的潛在威脅較大,并不建議企業(yè)機構(gòu)采用。
在選購付費SSL證書時,應(yīng)盡量選擇天威誠信這類權(quán)威的CA機構(gòu)。這些經(jīng)過國家認可的CA機構(gòu),是負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu),并作為電子商務(wù)交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。而選擇免費證書的用戶,常常在對密鑰的保存和后續(xù)的維護、更新、賠償?shù)确?wù)中遭遇問題。因此,選擇一個具有技術(shù)支持能力、擁有完善服務(wù)體系、具備良好市場信譽度和口碑的CA機構(gòu)就顯得尤為重要。需要強調(diào)的是,https網(wǎng)站的整體安全性依然遠高于非https網(wǎng)站,而大型網(wǎng)站一定不要選擇“免費”午餐,用戶在訪問網(wǎng)站時也一定要仔細辨別SSL證書,這樣才能更有效的保障隱私安全。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!