最近,国内两个著名互联网服务和产品提供商掐上了。作为这两家公司服务和产品的忠实用户,我想对他们说一声:和为贵!但我同时也注意到他们争论中的一个焦点是关于防止钓鱼、假冒网站的,并且多次提到VeriSign的网站认证和VeriSign服务器证书,而对于什么是服务器证书,服务器证书如何防止钓鱼网站、假冒网站,一般网民都不是太了解。当看到有关的争论多少会觉得云里雾里。
考虑到假冒网站、钓鱼网站给广大网民带来的巨大损失,安全网站认证技术在防止这种网络欺诈活动中起着极其重要的作用。作为对服务器证书有些了解的人,在此希望对什么是服务器证书及其如何防止假冒、欺诈网站方面的知识做个简单介绍。
服务器证书,也称为SSL证书 (Secure Socket Layer),是专门用于网站安全认证、防止网站被假冒的一种安全技术。SSL最初是由网景(Netscape)公司针对电子商务安全特别是网上支付安全而设计的互联网数据传输层协议,包括SSLv2.0和SSLv3.0。后来,因特网工程任务组织(Internet Engineering Task Force,IETF)在SSL基础上制定了TLS(Transport Layer Security)协议。TLS协议兼容SSL,因此,二者又合称为SSL/TLS。但是,习惯上,大家仍然统称为SSL。SSL功能主要包括:
1) 网站在线身份认证,在线验证网站的身份信息,确认其就是网站服务器证书中声称的网站;
2) 用户在线身份认证(可选),在线验证访问到网站的用户的身份信息,确认其就是声称的人;
3) 安全数据加密,在网站和用户之间建立安全的、加密的数据传输通道,保护用户的敏感和私密信息在传输过程中不被泄露(如你的银行账户信息,账户名、口令信息等)。
SSL是通过数字证书(Digital Certificate)来进行网站和用户的在线身份标识和认证的,这里数子证书相当于电子世界的身份证,它是基于一定的密码学原理而生成的一组电子身份数据。用于在线标识和鉴别网站的数字证书称为网站证书(Website Certificate)或服务器证书(Server Certificate)。
在现实世界中,每个人都有自己的身份证,每个企业都有工商部门颁发的营业执照,它们分别用于标识一个人或企业的身份;人们可以通过面对面地出示和检验居民身份证,确认一个人就是他声称的人,或者实地访问一家公司,实地查看检验它的营业执照,从而确定同你打交道的公司是真实存在的,不是虚假的。而在虚拟的电子世界,人们无法面对地面验证、确认一个人或机构的身份(比如网站的身份),而且由于电子身份数据可以轻易复制的,因此,使用简单的电子身份证是无法实现安全可靠的在线身份认证的(包括身份鉴别标识和鉴别)。那么,数字证书是如何能在不面对面地情况下安全可靠地鉴别一个网站或用户的身份的呢?我们可用通过现实世界中的一个如下假想例子来加以说明。
假设A、B两个人可以相互传递信息但又相互看不到对方容貌,比如,A在房间内,B在房间外,没有窗,只有门,门也没有窗,但有门缝;在这种情况下,A需要能够通过居民身份证对房间外B的身份进行鉴别(即确认他就是B,然后打开门让B进来)。为此,B可以把他的身份证通过门缝递给A,但是,这时即便A拿到了B的身份证并确认了这个身份证是真实的,但A仍然不能确认门外的B就是身份证上的人,因为这个身份可能是B捡来或偷来的。但是,如果我们假设公安部门在给每个人颁发身份证时,同时在身份证上印有每个人的手写签名,那么这个问题通过如下过程就比较容易解决了:
(1) A要求B将身份证传递给他;
(2) B通过门缝将自己的身份证传递给A;
(3) A通过一定的方式验证确认这个身份证是真实和有效性(具体什么方式我们就不管了);
(4) 对B的身份证进行的验证通过后,A将一张白纸通过门缝传递给B,要求其在上面签上自己的名字;
(5) B接收到白纸后,在纸上签上自己的名,然后将签名后的纸通过门缝递给A;
(6) A将纸上的签名与身份证上的手写签名比对,如果二者一致,则说明门外的确实是身份证上所标识的人。
基于数字证书的身份认证的工作原理和过程与上面带有手写签名的居民身份证的工作原理和过程非常类似。这时,标识网站或用户身份的数字证书(身份凭证)不是由公安部门或工商部门签发,而是由一个专门从事电子身份认证服务的机构签发(该机构的称为Certification Authority,简称CA),国外的如VeriSign(现被赛门铁克收购)、国内的如北京天威诚信电子商务服务有限公司等,都是专门从事电子身份认证的机构。下面以网站证书的申请和使用过程来说明数字证书在在电子世界的用途和用法(用户证书是类似的)。
一个网站用一张完整证书来在线标识其身份,其运行机构必须向一个电子身份认证机构申请签发有关的证书。网站的运行机构在向电子身份认证机构申请一张数字证书时,需首先在网站计算机本地生成一对密钥数据,其中一个可用于对电子数据进行签名,另一个用于对被签名的数据进行签名验证;由于前一个密钥数据是用于签名的,因此,它必须安全保管在本地计算机或专门的密码设备中,不能公开,称为私钥(Private Key);后一个密钥数据是用于(其他人或实体)对被私钥签名的数据的有效性进行验证的,可以公开,称为公钥(Public Key)。网站的运行机构将用于签名验证的公钥数据连同运行机构自身及网站的信息(如机构名称、网站域名及其相关证明材料)一起提交给电子身份认证机构。电子身份认证机构接收到相关申请后,先要验证申请者身份的真实性(验证过程)并确认申请者就是其声称的机构、域名确实由其拥有(确认过程),验证、确认通过后再为网站运行机构签发数字证书(电子身份数据),证书中包含有网站的身份信息(如域名)及用于签名验证的公钥。网站运行机构在得到证书后,将证书安装在网站的Web服务器上。
当用户使用浏览器访问安装了数字证书的网站时,浏览器与网站之间进行如下交互过程:
(1) 浏览器要求基于数字证书对网站进行在线身份鉴别(身份认证);
(2) 网站(的Web服务器)将数字证书传递给用户浏览器;
(3) 浏览器验证网站数字证书的有效性和可信性,包括验证网站证书是否由可信的电子认证机构签发,证书上的域名是否与用户要访问的网站域名一致,证书是否在有效期内等;
(4) 证书有效性和可信性验证通过后,浏览器将一串随机生成的数据(相当予白纸)传递到网站,要求网站对此进行数字签名;
(5) 网站用私钥对接收到随机数据进行数字签名(相当于在白纸上签上自己的名字),然后将签名后的数据传送到到用户浏览器;
(6) 用户浏览器使用网站证书上的公钥对数字签名后的数据进行验证(相当于用身份证上的手写签名对白纸上的签名进行验证),验证通过则说明用户要访问的网站确实是证书上所标识的网站。
以上过程都是在浏览器和Web服务器之间自动完成的(目前的浏览器都支持SSL协议,以及通过数字证书对网站进行在线身份认证),以上验证过程只要一个环节不通过,比如数字证书不是由一个受信任的认证机构签发,或者证书上的域名与用户要访问的网站的域名不一致,或者证书过了有效期,那么浏览器或者弹出一个单独的警告窗口,或者显示一个警告页面,提示关于网站所用数字证书的错误警告信息。
基于数字证书的在线身份认证是通过密码学原理(公开密钥加密算法)实现的,具有很高的安全性,很难破解或假冒,是当前最经济高效、最安全的在线身份认证技术。
那么,通过网站证书(SSL证书)如何能有效实现防止假冒、钓鱼网站呢?这是由于,网站运行机构在申请网站证书时,需向电子认证机构提交如下信息:
(1) 证明运行机构身份的基本信息及相关证明材料(如营业执照或组织机构代码证的复印件等);
(2) 拥有网站域名的证明文件;
(3) 用于签名验证的密钥数据,即公钥。
电子身份认证机构在收到以上信息后要进行如下鉴别、验证和确认:
(1) 证书申请机构提交的身份信息及相关证明材料是真实的,不是伪造的,这可以通过鉴别营业执照或组织机构代码证复印件初步判断,然后再进一步通过工商部门或组织机构代码证部门的数据库进一步验证有关证件和信息的真伪;
(2) 通过一定的方式,包括现场访问或通过电话黄页中得到的电话联系运行机构的有关负责人,确定确实是该运行机构在申请网站证书(而不是窃取了该机构证件复印件的假冒者);
(3) 通过申请者提交的网站域名证明文件,鉴别该文件的真伪,并确认申请者确实是相关域名的真正拥有者。
在完成了以上鉴别、验证和确认工作后,再为证书申请者签发网站数字证书。
以上过程实际上就是我们通常所说的电子身份认证中的“认证”(签发证书前的证书持有者的身份认证)。有了数字证书和以上严格的网站服务器证书签发流程,通过为网站安装一个由可信电子身份认证机构签发的网站证书,将能有效地防止假冒、欺诈网站,试想,一个假冒网站、钓鱼网站敢去申请一个数字证书吗?这相当于自投罗网,执法者可以很容易地通过证书申请时提供的真实信息抓到欺诈者。一个假冒网站、钓鱼网站可以劫持另一个网站域名,或注册假冒近似域名,甚至可以复制另一个网站的数字证书,但却无法得到被劫持网站的数字证书私钥。这样在进行在线身份认证的过程中,假冒网站、钓鱼网站也就无法伪造相应的数字签名,用户浏览器对网站的在线身份鉴别也就无法通过。因此,当你访问一个安装了可信电子认证机构签发的数字证书的网站时,你可以放心的相信这个网站是真实,可信的。那么,一个用户如何知道他要访问的网站是安装有可信电子认证机构颁发的可信数字证书呢?可以通过如下两点判断:
(1) 通过访问网站时所使用的传输协议
我们访问一个网站时所使用的网站地址通常是由三部分组成:传输协议、网站地址(域名)和页面路径,如http://en.wikipedia.org/wiki/Uniform_resource_locator中http:表明使用的是HyperText Transfer Protocol(HTTP)传输协议,网站的域名是en.wikipedia.org,而页面在网站的具体路径是:/wiki/Uniform_resource_locator。HTTP协议是普通的、非安全的传输协议。若访问网站所用的地址是https://example.com/paygate.jsp,则其中的https:说明采用的是HyperText Transfer Protocol over SSL传输协议(或称为Secure HTTP),它使用SSL协议和数字证书对网站进行在线身份鉴别(可选地,对用户进行身份鉴别)。
(2) 通过浏览器上的相关提示
对于采用了普通SSL证书的网站,使用浏览器并通过HTTPS协议访问该网站时,在浏览器的地址栏会出现一个黄色的小锁(如图???所述);而对于使用EV SSL证书的网站,浏览器的地址栏会变成绿色,且点击绿色地址栏锁型标示还能查看该网站服务器证书的颁发机构(第三方认证机构)。
采用SSL证书除了可以对网站身份的真实性进行鉴别外,还可以在用户浏览器和网站之间建立加密的数据传输通道,从而保证用户的敏感信息在通过互联网的传输过程中不被泄露、窃取,而这是其他网站认证技术无法做到的。
访问一个安装了由可信电子身份认证机构签发的网站证书就可以100%地确定它是一个可信网站吗?这也不尽然。从前面的描述可以看到,通过SSL证书保证网站真实可信、防止网站欺诈的一个重要环节是在SSL证书的申请、签发过程中,由电子身份认证机构对证书申请者进行严格的身份认证(即鉴别申请者提交的信息的真实性,确认申请者是其声称的人等),在这个过程一旦出现差错或者没有严格执行相关要求或过程,那么,一个数字证书就有可能被签发给一个假冒者。在实际应用中,不同的电子身份认证机构在签发证书过程中所执行的认证过程或者所遵循认证过程的严格程度不一定是完全相同的,有些面临较大商业压力电子身份认证机构为了降低成本,增加收入,在签发证书的过程中会采用简化的、降低了强度的验证、确认过程,这样就增加数字证书被签发给了假冒网站的风险。为了解决这一问题,国际上的一些大的电子身份认证机构和主流浏览器开发商(如VeriSig)成立了一个CA/Browser Forum(电子身份认证机构、浏览器论坛),以指南的形式制定了一个严格的网站数字证书申请、签发过程规范(称为扩展的验证确认,Extended Validation,简称EV);通过第三方审计机构认证、确认其证书签发过程符合该证书签发指南的电子认证机构可以签发一种称为扩展验证确认的网站数字证书(EV 证书或EV SSL证书);支持EV证书的浏览器能正确识别由这些机构签发的EV网站证书(没有通过相关认证的电子身份认证机构签发的EV证书不被这些浏览球识别),并以区别于普通网站证书的方式展现当前网站正在使用EV证书(如地址栏变为绿色)。
有了以上知识,当你访问一个网站进行电子商务、网上支付时,不妨看看你所访问的网站是否使用了SSL数字证书,特别是EV SSL证书,如果是,那么,你可以放心地进行网上交易等操作了
