SSL安全套结字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书(certificate ssl)的申请与配置。 决定购买何种SSL网站安全证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。本文将从管理层面对服务器证书的选择进行讨论。
管理层面,是否根内置?
根内置,是一个证书领域的专门术语,指CA机构通过相关国际机构审查后,与浏览器生产商协调后,发布在浏览器内。浏览器厂商为CA机构根证书的真实性负责。
1、 自己签发的证书与根内置的第三方机构颁发的证书有什么不同?存在什么风险?
国内有些网站采用自签名的SSL网站安全证书(certificate ssl)提供公众服务,却并不了解其中蕴藏着极大的安全风险。SSL网站安全证书的两个关键功能,除了广为所知的加密通道外,网站身份识别的作用在钓鱼网站泛滥时尤为重要。CA机构需要极其严格的审核过程,才能把根植入浏览器内。通过根内置的证书才能在对用户透明的前提下完成对服务其身份的认证。 自签名的证书由于需要客户端下载根证书才能完成SSL网站安全证书的验证过程,而把对根证书真伪的判断强加给对此毫不知情的用户,显然存在极大的风险。因为,钓鱼网站可以伪造自签名的SSL网站安全证书欺骗用户。
2、根内置与非根内置的第三方机购颁发的证书有什么不同?存在什么风险?
由于实施了《电子签名法》,国内机构在颁发合法的客户端证书的同时,开展SSL网站安全证书业务,如果该类SSL网站安全证书用于内部应用,可以实现相应的安全应用,但对于互联网应用服务,却存在极大的安全风险和隐患。 从本质来讲,非根内置的SSL网站安全证书和自签名证书有同样的风险,钓鱼网站在伪造SSL服务器证书的同时可以伪造第三方机构的根证书。而由于这种伪造造成的损失,服务提供商和第三方机构间的责任划分存在明显的隐患。
管理方面
即使把SSL服务器证书选择限定在根内置证书的范围内仍存在太多的选择。
1、 品牌是重要的吗?
SSL网站安全证书(certificate ssl)本身也具有品牌性的,要考虑提供互联网服务的品牌是否与服务器品牌相适应,例如,从VeriSign来说,VeriSign本身也提供三种品牌的服务,VerSign的高端产品,以及服务于非洲、或国际市场的中低品牌thawte 、geotrust。而从VeriSign的品牌来说占据世界500强的94%,可见,SSL网站安全证书品牌是和互联网业务相辅相成的。采用高端的SSL网站安全证书品牌对提高服务的互联网应用的品牌价值具有重要的意义。
2、品牌的服务质量如何?
SSL证书之所以具有品牌性,和其提供的服务价值密不可分,服务质量可以分为三个方面 服务的可延续性,SSL服务器证书作为持续服务的产品,其延续性和互联网应用的可持续性密切相关,而作为商业机构的SSL服务器证书颁发机构,处于底层的第三方机构由于自身业务能力,公司实力却存在破产或者停业的风险。从而,影响所提供的互联网应用服务自身的品牌价值。 服务的严谨性,SSL服务器证书要证明所代表互联网服务的网站身份,因此需要严格的鉴证审批流程,而严谨的鉴证流程是保障互联网服务提供商和最终用户权益的必要条件。因此,所谓的快速发证和无鉴证流程在提供便利性的同时,是以牺牲客户利益和带来风险为前提的。 服务的本地化,目前SSL服务器证书一般均是国外机构在中国的战略合作伙伴或代理颁发,战略合作伙伴一般可以提供良好的本地化服务,而代理商鱼龙混杂,需要通过对公司实力、服务时间等仔细甄别,判断是否能提供适当的本地化服务。
3、证书的价值如何体现?
证书的价值在于SSL网站安全证书品牌带来的良性促进,以及合法的本地利益保障,由于国内外企业制度,企业身份的认证过程不同,因此,需要符合本地法律的鉴证流程保障合法利益。本地鉴证是根据国情制定的鉴证策略,互联网服务上合法利益受到损害时可以得到中国法律支持的利益保障。因此,能提供本地见证服务,也是SSL网站安全证书选择中关键的一环。 本文讨论了SSL网站安全证书选择时需要关注的环节,以及一些选择的风险和安全隐患。当然,技术在不断进步,管理和服务模式不断更新,需要根据实际情况和背景调整思路,以便做出有利于互联网服务发展的更好选择。