巧選服務器證書二:SSL 服務器證書發展篇
SSL服務器證書發展概述
基于SSL技術的服務器證書自誕生之日起,已有十余年,其加密強度及功能上均在不斷演變,而且隨著釣魚攻擊的演變、黑客技術的發展這種變化正日趨加速。從最初推出的瀏覽器上安全鎖型標記到最新EV SSl服務器證書,我們看到服務器證書正與現實網絡生活建的關系正日益緊密。據全球最大的數字認證機構VeriSign的統計,截至到現在全球范圍有超過1百萬臺服務器部署了VeriSign的服務器證書,并且這一數字還在隨時刷新。
安全小鎖標志、安全站點標志的意義何在
電子商務首先需要解決的問題就是信心問題,客戶需要與誰交易,交易的安全性問題直接影響。如果你問一個購買了服務器證書的網上零售商,安全小鎖意味著什么,他會告訴你這意味著我的網站是值得信賴的,交易安全是有保障的。但隨著互聯網的大眾化,上網的人群知識層次大相徑庭,對于一些網民來講,原本設計用來標示網站安全性的“鎖型安全標志”并不熟知,為此一些CA機構推出了各種類型的安全站點標志,以加強安全站點的可識別性,其中得到廣泛認可的有VeriSign動態站點簽章標志。為了驗證這一效果,歐洲領先的公司--歐洲在線旅行社opodo曾做過一個試驗,他們測試了一系列訂單生成頁面,部分放置了VeriSign站點簽章標志而有的網頁則沒有該標志,最后結果顯示那些放置簽章標志的站點銷售量提升了10%。VeriSign站點簽章標志目前已成為全球范圍內最為值得信任的安全標識,此標志每天的消費者瀏覽人次數超過1.5億次。
EV SSL服務器證書的由來
盡管站點簽章標志的推出取得了不錯的效果,但仍有善良的網絡大眾被釣魚網站所誘騙。除此之外,信譽良好的CA機構在驗證網站真實身份時克盡職守,但部分CA機構在驗證網站真實身份這一環節紕漏百出,有的網站配備了未經任何身份驗證的低端服務器證書,“鎖型安全標志”的作用打了不少折扣,更有一些網站直接使用自行制作未經任何第三方認證的服務器證書,大規模的欺詐事件從2005年開始大規模爆發。
鑒于上述問題,一方面CA機構需要提升對于網站身份的鑒別,另一方面瀏覽器廠商需要將安全的網站以更加明顯的方式展示出來,便于一般網民識別。為此全世界超過20多家頂級的瀏覽器生產商、數字證書認證機構及相關專業人士齊聚一堂,共同商討對策,并成立了數字證書和瀏覽器論壇,通過一年多的努力終于達成一致協議,CA機構將共同遵守相同鑒證標準面向公眾推出EV SSL服務器(Extended Validation SSL Certificate)。
瀏覽器廠商針對EV服務器證書開發了新一代瀏覽器,首當其中的便是IE7,當網民登陸配置了EV SSL證書的網頁時,IE7地址欄將會自動變為綠色,提示網站經過了高級別身份驗證,并且地址欄上還會滾動出現網站身份信息及數字證書頒發機構的名稱。而對于釣魚站點,紅色地址欄將自動進行提示網民注意自身安全。
EV SSL服務器證書長效保障機制
為了讓新一代的服務器證書充分的發揮作用,切實保障網站的安全可信。首先,對于頒發EV SSL服務器證書的CA認證機構每年均需要接受論壇聯盟的審計,確保CA機構是按照標準嚴格執行的身份驗證的規范。其次,EV SSL證書一經發出,隨之會被實時檢查,以保證服務證書能準確顯示最新CA機構的發現。
如果發現問題,瀏覽器上的EV SSL證書將在不會被顯示為有效的EV SSL證書。再有,如微軟瀏覽器也會實時檢查根證書情況,那些沒有資格頒發EV SSL證書的CA機構所發放的證書,在地址欄上顏色將不會有任何體現,此外,對于已取得資格但由于各種情況未經過能年度審查的CA機構,其頒發的EV SSL證書也將收到同樣的待遇,將會隨即被從受信行列中清除出去。因此,選用知名公司,如VeriSign的EV SSL服務器證書不但可以最大限度的提升網站的可信程度,進而提升交易成功的可能性,同時避免日后由于CA機構自身技術問題導致的不必要的麻煩。
巧用EV SSL服務器證書幫助網站提升安全
要讓EV服務器證書發揮最大作用,還需要瀏覽器和操作系統的支持,雖然主流瀏覽器如IE7.0、Firefox 3配合Windows Vista可以無縫實現EV SSL服務器證書全部功能,但如果客戶應用WindowsXP操作系統,在使用IE7訪問配置了EV服務器證書的網頁時,將會被提示安裝根證書,刷新完頁面后才會出現“綠色的地址欄”。
為此,如VeriSign公司推出了EV 升級程序(EV Upgrader),EV Upgrader被內嵌在站點簽章標志中,作為全球范圍內最為可信的網站簽章標志,部屬一枚站點簽章標志不但可以幫您增強站點可信度,更可以幫助客戶自動實現EV根證書添加。為了讓客戶更好的應用EV Upgrader功能,讓網民一進入部署了EV服務器證書就可實現EV證書全部功能,我們建議將站點簽章標志放入在首頁,因為大部分網民通過首頁訪問網站,這樣網民在進入真正交易頁面前就可以實現根證書的更新,完全不用擔心您的EV服務器證書功能實現問題。
