标签： evssl证书

反击欺诈钓鱼网站SSL证书意义何在

截至2009年6月，中国网民规模达到3.38亿，较2008年底增长13.4%。同期，中国使用网络购物的网民规模达到8788万，使用网上支付的网民规模达到7571万人，均超过网民增速。但与此同时，只有不到三成的网民认为在网上交易是安全的，不到四成的网民在网上注册时愿意填写真实资料。不断发生的钓鱼欺诈网站，各类网上安全事件，让网民产生对于在线交易的不信任，必然影响在线交易行为。

SSL证书作为一个安全产品，推出已经有十余年的历史，SSL证书可以在客户端浏览器和Web服务器之间建立起一条SSL安全加密通道。此时，用户在线输入的信用卡号、交易密码等机密信息在网络传输过程中将不会被查看、窃取和修改。

    SSL证书颁发时，证书颁发机构通过域名、企业身份验证等方式面向拥有真实合法身份的安全网站颁发服务器证书。当网民登录网站时不但可以放心的自己输入个人信息，同时也可以确定网站的真实身份，避免误入钓鱼欺诈网站的虎口。

国内SSL证书应用情况如何

    经过多年发展，尤其是近几年网上支付及网上交易业务的日趋频繁，国内SSL证书市场已拥有稳定的客户群体，VeriSign品牌证书已经拥有较高的品牌认知度。考虑到安全因素，国内绝大多数知名网上银行、基金交易平台、网上购物商城等均部署了高端VeriSign SSL证书以提升网站安全性。随着最为先进的扩展验证EV SSL证书的推出，天威诚信正协助高端客户升级SSL证书产品，进一步提升网站安全可信度。

为什么优先选择高端品牌SSL证书

对于绝大多数网民来讲，安全高效的互联网对于客户的信心保障远胜过铺天盖地的广告宣传。而低端SSL服务器证书由于无法与绝大多数浏览器兼容，当客户访问网站时会自动弹出安全警告或直接禁止访问，这一过程将极大的降低客户对于网站安全可靠性的信任，从而造成客户流失。同时低端证书也无法提供128位的加密强度，在安全性上给客户及企业造成重大安全隐患。尤其是一些10分钟快速颁发的低端SSL证书产品，对于金融机构、大型购物网站来说，使用该类低端证书将严重损害公司的品牌价值，因为该类证书缺少必要的网站真实身份验证，客户将无法判断网站的真实性，误以为已经登录安全站点。

    高端SSl证书，如VeriSign从1996年便开始于浏览器厂商展开合作，其证书可与绝大多数主流浏览器完全兼容，并且高安全的加密技术及严格的身份验证机制可以确保部署SSL证书的网站安全可靠。VeriSign最新的VeriSign扩展验证（EV）SSL证书更可以在浏览中通过绿色地址栏进行展示，客户可以随时判断网站安全可信度。

如何顺利获得安全可靠的SSL证书

    总部位于美国加州山景城的VeriSign在多个国家设有分支办事机构，并与当地合作伙伴建立良好的服务合作关系。在中国大陆，天威诚信数字认证中心（iTrusChina）作为VeriSign官方合作伙伴可提供旗下各类SSL证书产品，承担本地区客户服务工作。天威诚信在北京、上海、深圳均建有专业的服务团队，可提供本地化技术支持。长达10年的稳定合作关系，让天威诚信更加了解国内客户需求状况，更有效的提供专业的帮助。

    网络骗子通过制作外形逼真的网页假冒金融站点、知名购物网站、游戏网站事件屡见不鲜，更有甚者公然仿冒公益网站，打着慈善的幌子开始招摇撞骗，人民的爱心惨遭亵渎。骗子真可谓机关算尽，他们正克隆一切可以带来“利益”的网页，账号、密码等一切有价值的个人信息。来自反钓鱼工作组(APWG)的报告显示钓鱼网站有增无减，面对此景，无辜的网民又能奈何。在一个网上商贸蓬勃发展，同时网络诚信体系相对缺失的中国，我们怎么才能拒绝骗子们的恶意忽悠。

擦亮双眼，借色辨真假

    网民切忌不要只凭外观相信一个网站，因为仿冒一个站点的外观对于网络骗子来讲简直轻而易举，尽管有些网站上留有详细的联系方式，但这一切均有可能是骗子精心不下的秘局。但对于网民来讲不看网页，我们怎么判断一个网站的真假呢。可以说是由于国内缺少对于网站的真实性和安全性的保护，造成了国内钓鱼站点等安全事件的泛滥，我们的红盾标志、各种网站诚信标志仅仅从网站身份角度解决了部分问题，由于缺乏技术保障造成“诚信标志”事件层出不穷。网民想轻松识别网站真假依然困难重重。

    相对于国内略显单一的安全响应措施，国际上最为普遍的做法是依托安全厂商间的技术合作，其中最为重要的是第三方数字认证中心，如全球最值得信任的网络基础架构供应商—VeriSign，为了帮助网站赢得网民信任，他们为网站颁布一个类似“身份证明”的SSL服务器证书，不要小看该证书，它可是大有来头，全球范围有超过1百万台服务器部署了VeriSign的服务器证书。数字认证中心通过严格审核企业真实信息、验证网站域名才可以面向网站颁发“身份证明”。服务器证书作为一项安全技术手段，自诞生之日起10年来，不但可以标识网站的真实身份，更可通过SSL安全链接协议确保客户与网站间数据传输的安全。SSL服务器证书既是一个网站身份证明，更是一个可靠的安全技术。目前，我们在国内知名的购物网站和金融站点上均可以看到他的身影。而他的最新一代扩展验证EV SSL证书凭借着其独特本领横空出世，我们不仅会看到传统金色小锁的标志，更可以在IE7.0、 Firefox3.0、Opera9.5等最新一代浏览器上看到扩展验证EV SSL证书独特的变化，通过严格身份验证的网站将获得绿色地址栏的待遇，网民只要在交易时观察地址栏颜色变化就可以判断网站的安全与否。浏览器厂商与数字认证中心的联手，正让假冒网站无处躲藏。

看清标志，网民商户齐参与

    为了保护我们自己的权利，网民曾想过各种方法，打开钱夹为电脑购置最新的杀毒软件，修补所有系统漏洞，网民为自己的电脑已做了许多，但信息一旦在互联网上公开传输，没有SSL服务器证书的帮助面对曾出不穷的钓鱼站点，我们隐私信息依然难以保全。究其原因，因为任何保护均是双方向的，网民一方面要善于武装自己，另一方面商家同样要帮助为网民创造安全的交易环境。对于一个负责人的商家来说，客户的登陆账号及个人隐私信息的保护是最为重要的，在关键页面配置相应的安全保护技术并对客户以安全提示是必须的。其实一个与扩展验证EV SSL证书产品配合使用的站点签章（如下图所示）就可以很好的提示网民网站的安全可信度，网民通过点击标志验证网站真实身份，最为重要的是该标志无法从技术上进行仿造。也正因为如此，仅VeriSign安全标识每天便接受消费者超过1.5亿次的浏览。

数字认证机构，克尽职守

    SSL服务器证书在发展过程中，同国外市场一样也经历过着各种冲击，一些数字认证中心为争夺市场，发放一些价低质次的证书产品，令国内本就不太安全的市场再起波澜。而扩展验证EV SSL证书作为保护网民利益和网站信誉的一项最新安全手段，数字认证中心不能再有丝毫马虎。天威诚信数字认证中心作为VeriSign在国内的首要合作伙伴自从扩展验证EV SSL证书正式在国内受理颁发后，经常要帮助客户解答各种申请扩展验证EV SSL证书过程中的疑问，相对严格的网站身份鉴别环节，往往得不到一些网站运营商的理解。但天威诚信和VeriSign的共同职责便是为国内用户营造一个可信的网络环境，帮助网站赢得并留住客户，一张安全的“网站身份证”对网民的帮助永远胜于一个“劣质网站安全证明”对于客户信心的打击。

1、 绿色地址栏扩展验证EV SSL证书价值何在

    VeriSign 作为SSL证书技术的领导者，最先推动扩展验证EV SSL证书技术的发展。扩展验证EV SSL证书作为技术最为先进的SSL证书于2008年正式进入中国市场，天威诚信率先为招商银行、中信银行等网站完成了SSL证书升级工作，成为国内第一家能够颁发扩展验证EV SSL证书的数字认证中心。

    扩展验证EV SSL证书作为最新一代的SSL证书产品，其针对目标便是应对大规模钓鱼欺诈网站。当网民登陆配置了扩展验证EV SSL证书的网页时，浏览器地址栏将自动变为绿色，提示网站经过了高级别身份验证，地址栏上还会滚动出现网站身份信息及数字证书颁发机构的名称，帮助网民直观的辨别网站真伪，有效降低钓鱼欺诈网站对合法公司网站的安全威胁，提升网站的可信形象。该类证书尤其适合金融机构、支付平台、购物平台、知名企业等客户访问量大，网络交易频繁的网站。

2、 为什么要在网站上主动放置动态站点签章标志

    网站www.ABCbank.com 和 www.bank-ABC.com 都申请了 SSL 证书，哪家才是真正的 ABC bank？这就是访问者，不但观察 “金色安全锁”标记，还要点击该标志查看网站的具体身份信息，因为欺诈钓鱼网站也可以申请到只验证域名的SSL证书，同样显示“锁型”标记。而对于购买高端SSL证书的客户，最好的办法就是尽可能的展示该公司的SSL证书。VeriSign信任签章（VeriSign Trust Seal）作为高端品牌证书品牌标志，拥有庞大的用户群，支持13种语言，每天的浏览人次数超过2.5亿次，已经成为全球范围内最为可信的安全站点标志。创新的签章可以让客户随时点击查看网站的具体身份信息，且该标志不会被假冒或钓鱼网站非法使用。尤其是非扩展验证EV SSL证书客户，将该标志放在网站上，可以时刻提醒在线用户，所有在线提交的数据信息正在受到高强度的加密传输保护，能最大限度上提升网站可信度。该标志提供多种尺寸选择，VeriSign证书客户可免费在线安装。

3、 为什么要选择高加密级别的SSL证书

    随着技术的进步，SSL证书经过多年的演变，安全加密级别也不断提高。举例来说，40位强度的SSL证书暴力破解耗费4小时，而对于128位证书破解需要一万亿年以上。为了保证客户每次登陆网站均可获得128位强制加密保护，VeriSign在业内最先推出了SGC强制加密技术，力求最大很大程度上减少隐私信息外泄。经过多年发展，在全球市场上VeriSign 128位强制型证书拥有庞大的用户群。

4、 高端SSL证书为什么必须经过身份验证

    申请VeriSign 品牌SSL证书全部需要进行企业身份验证，VeriSign及其服务商通过对企业资质及域名所有权等方面的查询，保障签发出去的每一张证书均可以代表真实的企业，这既是对证书品质的保证，也是提升部署SSL证书网站可信度的有效方法。而欺诈钓鱼网站，由于根本无法提供网站所有权的证明文件，因此也就无从获取VeriSign品牌证书。至今为止，VeriSign SSL证书无一出现身份验证失误而造成的签发错误。

5、 SSL证书为什么不能长期有效

    证书签发机构无法只通过一次身份验证便保证企业十几年或几十年业务真实性，这就如同企业经营执照也需要年检一样，证书机构也要定期通过审核企业相关资质，从而确保签发出去的SSL证书安全有效。同时这也是出于技术安全的考虑，例如一张有效期2年SSL证书，到期后会重新签发新证书，而每张证书的密钥也是不尽相同的，这也降低了由于保管不善密钥丢失的风险。

    高端品牌SSL证书的显著特点就是SSL证书的可信度和技术领先性。因为对于网民来讲，输入一个网址很可能就是几秒钟的事情，也就是说如果他对于网站失去信心，根本不需要任何成本，便可转换到另外一个网站上完成交易。对于网站来说，每一名流失的客户就意味着损失，这些损失往往需要更多的广告投入，去重新吸引新的客户关注。

高端品牌证书提升网站可信度

    高端品牌SSL证书的真正意义就在于他对于网站价值的提升。以VeriSign（威瑞信）品牌证书为例，自诞生之日起，该品牌证书从未签发过未经身份验证的低端品牌证书，从未错发一张证书。经过10多年的发展，VeriSign证书已广为网民熟知，在145各国家和地区签发了超过百万张的SSL证书。其VeriSign 站点签章标志（VeriSign Secured® Seal）早已成为全球范围内信誉度最高的安全站点标志，每天的浏览次数超过1.5亿次。正是因为其在反欺诈钓鱼网站领域的显著作用，超过93%的财富500强企业，97%的世界100大银行，以及全球50家最大电子商务网站中的47家共同选择VeriSign SSL证书保护网站的安全。

高端品牌证书技术优势

    作为高端品牌证书，在技术上始终要处于前沿地位，并持续关注客户对于SSL证书的需求。随着技术的进步，对于加密强度的要求日益提升。以前占据市场的低端加密产品，正逐步丧失其市场优势。举例来说，一个40位强度的SSL证书，现在暴力破解仅耗时4小时，而破解VeriSign推出的拥有强制加密技术（SGC）的SSL证书则需要一万亿年以上。

    为了应对日益猖獗的欺诈钓鱼网站问题，2007年VeriSign推出全新一代拥有绿色地址栏的VeriSign扩展验证EV SSL证书。当网民登陆配置了VeriSign扩展验证EV SSL证书的网页时，浏览器地址栏将自动变为绿色，提示网站经过了高级别身份验证，地址栏上滚动出现网站身份信息及数字证书颁发机构的名称，帮助网民直观的辨别网站真伪。VeriSign在SSL证书领域的不断革新，最终确立了VeriSign 在全球SSL证书市场占据绝对领导地位。

   数字证书颁发机构 (CA) 在互联网安全生态链中扮演一个非常重要的角色，因为 CA 充当可信任的第三方在验证申请者的真实身份后才颁发SSL证书。 CA 需要有非常可靠的公钥基础设施 (PKI) 、身份验证专业人才和流程、客户支持、安全评估、证书数据库管理等等，这些系统还要支持不同的身份验证应用需要 ( 如服务器验证、客户端验证和软件代码验证等等 ) 。

    可以说， CA 是保护最终用户信息安全的第一道关，因为 CA  在颁发证书之前对申请证书的网站进行了身份验证，而如果 CA 没有进行严格的身份验证就会给互联网用户带来安全威胁，主要包括：

    (1) 如果没有验证申请单位的真实身份或没有检查申请单位是否有权使用此域名，则恶意假冒者有可能使用 SSL 证书来欺骗用户此网站就是 SSL 证书中所指的单位的真实网站。

    (2) 如果不验证申请单位是否存在 ( 不验证营业执照 ) ，则网站上所声称的公司名称可能就是一个实际上不存在的公司 ( 即：没有合法注册的公司 ) ；

    (3) 如果不验证申请人的身份和验证是否授权代表某机构申请证书，则恶意假冒者极有可能使用一个被假冒方的营业执照来申请证书，以达到假冒和欺诈的目的。

目前，证书颁发机构一般在只验证域名所有权的 SSL 证书 ( 超快 SSL) 中不显示单位名称，以免被非法利用，而为了防止第 (3) 种情况，一般都要求除了提供营业执照外，还需要提供第三方证明文件和电话确认。

    但由于目前的各个 CA 的身份验证过程都是不一样的，严格程度也不一样，所以，全球领先的各大数字证书颁发机构才发起制定了一个全球统一的、更加严格的身份验证标准来颁发扩展验证EV SSL证书，从而为最终用户的信息安全严格把好第一道关。并联合各大浏览器开发商给予扩展验证EV SSL证书不同于其他 SSL 证书的显示方式 ( 地址栏变绿 ) ，让最终用户可以非常直观地知道正在访问的网站是通过权威的数字证书颁发机构严格身份验证的真实存在的经营实体，从而放心地从事在线交易。根据09年最新的Netcraft结果，全球领先网站共部署13，000余个扩展验证EV SSL证书，其中，超过10，000个是由VeriSign(威瑞信)颁发的。经验证，VeriSign扩展验证EV SSL证书可以有效降低网上订单的放弃率，提高成交率。通过使用VeriSign扩展验证EV SSL证书，交易量提高可达27%，网上收入提高50%。另外，电子商务网站Virtual Sheet Music在采用扩展验证EV SSL证书后，销售量提高了13%，效果十分显著。更为可喜的是，目前VeriSign已与天威诚信数字认证中心（iTrusChina）携手推进国际上最为先进的绿色地址栏扩展验证EV SSL证书在国内的发展，共同抵御欺诈钓鱼网站对网民的直接损害。

互联网启蒙于美国军方的内部网络，由于其是一个专网，初期网络规模小，处理能力低，设计的TCP/IP协议的核心是信息传递，很少涉及信息安全，因此，应用层协议http、smtp、ftp均是明文数据，未采用加密措施。

随者互联网的普及，互联网应用层出不穷，同时，由于互联网的爆炸性增长，接入互联网的节点泥沙俱下，带来各种各样的互联网威胁，如何辨别一个网站的身份，如何安全的传递机密或隐私信息，成为至关重要的问题。

    SSL安全套结字层协议（secure sockets layer），提供了一个传输层安全的应用协议，解决互联网服务网站的身份识别，机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL证书（certificate ssl）的申请与配置。 决定购买何种SSL证书，不仅是一个技术问题，更涉及到公司的战略、服务意识、管理等一系列问题。本文将从技术层面对服务器证书的选择进行讨论。

技术层面：

1、  加密位数越高越好吗？

    目前市场上的SSL证书中，对于加密位数有个加密位数越高越好的误区，SSL协议涉及到的加密的环节，有两个加密位数，一是证书公钥位数，分为512位、 1024位、2048位，主流的是1024位。一是会话秘钥（对称密钥）位数，分为40位，128位，256位，主流的是128位。公钥算法主要是用来加密会话秘钥，会话秘钥是SSL会话建立之后对会话内容进行加密，会话秘钥的长度和浏览器支持的密钥长度相关，微软的IE系列浏览器，有40位和128位两种，VeriSign SSL证书采用SGC技术，可以实现40位IE浏览器的128位强制加密，其他处于从属地位的浏览器，例如firefox，可以支持 256位会话秘钥。主流的密钥长度在目前的技术水准下，破解的难度相当高，暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的，且有效期较短，基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源，在密钥长度增加的同时，会带来更大的性能负载，在主流密钥长度可以提供足够安全的保障前提之下，更长的密钥长度只能带来无效的负载增加。

2、  证书链的层级越少越好吗？

    目前市场上的SSL证书中，对于证书链的长短也有不少争议，有VerSign证书链在美国为二级，在中国为三级，三级证书链验证过程时间长的说法。其实，证书链的长短有多方面的原因，涉及到不同的安全级别、证书颁发策略，不能一概而论。证书链越长当然验证的时间也越长，不过在不超过四级的长度下，性能接近相同。比如，目前的VeriSign扩展验证EV SSL证书，就存在两条证书链，一条是三级，适用于IE7等新版本浏览器，一条是四级，适用于windows 2003下的IE6等稍旧版本浏览器。 由根CA直接签发证书的二级结构，需要根证书在签发证书时在线，如果，业务处于饱和状态就要求根证书一直在线，不符合一般CA安全的密钥安全管理原则，也极大的增加了根密钥的安全风险。因此，此类的证书已经不是主流的证书类型。