【51CTO.com獨(dú)家特稿】國(guó)內(nèi)知名安全軟件廠商360安全衛(wèi)士在2009年12月30日發(fā)出警報(bào)，目前國(guó)內(nèi)某些公司頒發(fā)的數(shù)字證書為木馬程序簽名，從而使木馬程序繞過(guò)防火墻和安全軟件的檢測(cè)，對(duì)用戶帶來(lái)極大危害。此言一出，引起國(guó)內(nèi)各方的強(qiáng)烈反響和激烈爭(zhēng)論。

爭(zhēng)論總體來(lái)自三個(gè)方面。一方面是用戶，大多數(shù)用戶對(duì)數(shù)字證書的了解不多，但至少都知道數(shù)字證書和數(shù)字簽名是一種安全和信任的表示，如果數(shù)字證書和數(shù)字簽名都不能相信，那么我們?cè)诨ヂ?lián)網(wǎng)上如何識(shí)別惡意軟件和網(wǎng)站呢？另一方面來(lái)自安全軟件廠商，絕大多數(shù)安全軟件廠商都會(huì)采用數(shù)字證書對(duì)自己的軟件進(jìn)行簽名，一來(lái)是未來(lái)保護(hù)自己的著作權(quán)不被侵犯，二來(lái)是為了塑造在用戶心中的信任感。

但如果數(shù)字簽名不可信，那么軟件市場(chǎng)就會(huì)陷入一個(gè)“劣幣驅(qū)除良幣”的局面，大量?jī)?yōu)質(zhì)軟件和可信程序會(huì)因?yàn)樯贁?shù)惡意軟件對(duì)用戶的侵害，也喪失用戶的信任。第三方面是權(quán)威的數(shù)字認(rèn)證中心，他們是數(shù)字證書的頒發(fā)機(jī)構(gòu)。對(duì)于360安全衛(wèi)士的指責(zé)他們大多感到很無(wú)奈，畢竟是極個(gè)別沒(méi)有資質(zhì)的廠商頒發(fā)的數(shù)字證書造成了這種局面，而這對(duì)整個(gè)行業(yè)的可信度都產(chǎn)生了極壞的影響。

問(wèn)題的焦點(diǎn)在于，他們究竟是誰(shuí)，他們是否能代表整個(gè)數(shù)字認(rèn)證行業(yè)，他們的行為是如何產(chǎn)生的，會(huì)對(duì)用戶和軟件廠商帶來(lái)怎樣的危害？據(jù)筆者了解，數(shù)字認(rèn)證行業(yè)（CA）屬于互聯(lián)網(wǎng)基礎(chǔ)行業(yè)，其與域名、主機(jī)服務(wù)和網(wǎng)絡(luò)安全一樣是構(gòu)成目前互聯(lián)網(wǎng)安全與信任體系的支柱。

從法律上說(shuō)，在國(guó)內(nèi)要經(jīng)營(yíng)數(shù)字認(rèn)證業(yè)務(wù)，必須通過(guò)國(guó)家工業(yè)與信息化部的批準(zhǔn)，而目前國(guó)內(nèi)具備這種資格的公司僅有20余家，其中絕大部分是地方CA，僅有北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司（天威誠(chéng)信數(shù)字認(rèn)證中心）等少數(shù)幾家CA機(jī)構(gòu)具有全國(guó)運(yùn)營(yíng)的能力。

那么，這些沒(méi)有資質(zhì)的公司頒發(fā)的數(shù)字證書會(huì)帶來(lái)什么問(wèn)題呢？數(shù)字證書并不是一種單純的商品，它是一整套互聯(lián)網(wǎng)信任體系的具體表現(xiàn)形式，其背后除了需要強(qiáng)大的技術(shù)支撐外，更需要來(lái)自操作系統(tǒng)、瀏覽器廠商的支持，尤其是需要一套專業(yè)、完整、嚴(yán)謹(jǐn)、公正的鑒證服務(wù)體系。沒(méi)有這些，數(shù)字證書不過(guò)是一個(gè)簡(jiǎn)單的程序，它就和我們現(xiàn)實(shí)生活中“東南亞辦證集團(tuán)”辦理的各類證書一樣，不具備任何可信度和法律保障。如果放任這類非授權(quán)CA機(jī)構(gòu)頒發(fā)的數(shù)字證書，那么將會(huì)讓惡意軟件橫行，互聯(lián)網(wǎng)信任體系崩潰，進(jìn)而讓互聯(lián)網(wǎng)無(wú)法承載任何權(quán)威信息傳播和電子交易。

一些不規(guī)范的證書大部分有兩種來(lái)源，一種是自己開發(fā)的數(shù)字證書，他們沒(méi)有操作系統(tǒng)和瀏覽器根內(nèi)置，不被操作系統(tǒng)和瀏覽器信任，會(huì)頻繁報(bào)錯(cuò)。這類證書并不可怕，另外一種是從國(guó)外CA廠商購(gòu)入的數(shù)字證書，經(jīng)過(guò)重新技術(shù)和市場(chǎng)的包裝，再以知名證書品牌的名義向市場(chǎng)兜售，而且價(jià)格低得驚人。這類證書可以輕易繞過(guò)操作系統(tǒng)和瀏覽器，給用戶帶來(lái)不可挽回的重大損失。

那么我們應(yīng)該如何識(shí)別數(shù)字證書，我們又該信任哪些數(shù)字證書呢？數(shù)字證書的種類很多，我們無(wú)法一一闡述，以這次曝光嚴(yán)重的代碼簽名證書和SSL服務(wù)器證書來(lái)看，無(wú)論是用戶還是網(wǎng)站、軟件公司的采購(gòu)人員，都需要注意以下幾點(diǎn)：

選擇國(guó)際知名的產(chǎn)品，這些產(chǎn)品在全球通用，獲得全球信任保障體系的支撐，如Verisign（國(guó)內(nèi)的銀行基本上都是用這個(gè)牌子的證書）、Geotrust、Thawte（google用的這個(gè)）等品牌；

選擇這些品牌在國(guó)內(nèi)的授權(quán)代理機(jī)構(gòu)購(gòu)買，這些授權(quán)機(jī)構(gòu)基本上都是國(guó)家批準(zhǔn)的CA中心，他們具有完善、專業(yè)的鑒證流程和團(tuán)隊(duì)，是數(shù)字證書可信度的基本保障，如Verisign在國(guó)內(nèi)的首要合作伙伴天威誠(chéng)信；

不要因?yàn)榈土膬r(jià)格而選擇一些沒(méi)有資質(zhì)的公司和其所頒發(fā)的數(shù)字證書，貪一時(shí)的小便宜將會(huì)對(duì)公司、產(chǎn)品的信任度帶來(lái)極大的危害；用戶在安裝軟件的過(guò)程中一定要學(xué)會(huì)識(shí)別數(shù)字證書和數(shù)字簽名，避免安裝一些沒(méi)有數(shù)字證書或數(shù)字證書不可信的軟件產(chǎn)品，給自己帶來(lái)?yè)p失。

經(jīng)過(guò)十年的發(fā)展，中國(guó)互聯(lián)網(wǎng)行業(yè)煥發(fā)出前所未有的活力和生機(jī)，而互聯(lián)網(wǎng)的信任環(huán)境又非常脆弱。網(wǎng)絡(luò)誠(chéng)信環(huán)境的建設(shè)需要來(lái)自各方的共同努力，尤其是相關(guān)安全、信任服務(wù)廠商的自律。

【編輯推薦】

1. 詐騙新招：黑客修改醫(yī)師考試分?jǐn)?shù)
2. 微軟2010年第一次補(bǔ)丁重點(diǎn)鎖定Windows2000
3. 正反觀點(diǎn)驗(yàn)證2010年10大安全挑戰(zhàn)
4. 賽門鐵克產(chǎn)品不能識(shí)別2010年 新年病毒特征碼標(biāo)記為過(guò)期
5. 圖文詳解攻擊BitLocker引導(dǎo)過(guò)程
6. SSL竊聽(tīng)攻擊實(shí)操 拿下vip.sohu.com
7. Red Hat Enterprise Linux4.0功能與安全
8. 安全使用RedHat Linux系統(tǒng)
9. Red Hat PXE Server DHCP包遠(yuǎn)程拒絕服務(wù)漏洞