SSL证书依据加密强度,一般来说我们将其分为两个级别,即低加密等级和高加密等级。低端的加密强度为40位或56位,而高端的加密强度为128位或256位,具体达到的加密强度客户操作系统、浏览器版本、网络服务器的所采用的证书等因素相关。如许多客户的系统不支持128位强度的加密链接,即便SSL证书可以支持128位,客户端也自动降低加密强度,除非他采用了支持SCG技术的SSL证书(强制型),方可实现128位加密强度。目前只有少数公司如VeriSign可以提供支持SCG技术的数字证书产品。不同加密级别的证书安全性到底有多大差距。我们做个简单的数学题:128位加密强度=288×40位加密强度,约等于(300,000,000,000,000,000,000,000,000)倍40位的强度。也许看到这么大的数字,难免头大。我们再举一个现实的例子,对于加密算法的常用方法是暴力破解(通过计算各种密码变化形式),1997年学生对于40位强度的SSl暴力破解耗费4小时,而目前凭借最高端的计算终端和计算能力这一过程被减少到了几分钟,而同样的方法用在128位加密强度上要耗费一万亿年以上。
标签: evssl证书
分类
国产的SSL证书安全吗?
一个安全、可靠地SSL证书,不但在技术上拥有高强度的加密等级,而且要有易于识别外观,更为重要的是SSL证书作为网站的身份证,可以被网民所信赖。无论网民身在纽约的大都市,还是在碧水环绕的马尔代夫,只要输入网址,看到绿色的地址栏就可以信任该网站是正规、真实的合法网站。如何做到这一点?SSL证书通过预埋在浏览器中的“信任根”来实现。
半遮半掩的“国产证书”
国产品牌SSL证书经过多年的发展,出现了不少全新的国产品牌。SSL证书的运用解决了网民对于网站的信任问题,国产证书虽然拥有符合国人心理的响亮品牌,但绝大多数国产证书由于技术和实力问题无法通过“信任根”审查进入主流SSL证书市场。为了避开“根预埋”的限制,国产证书颁发机构看准了一些国外非主流SSL证书厂商急于抢占市场的心理便主动出击,让这些“洋证书”披上国产品牌的外衣,即利用国外品牌的“信任根”颁发国产品牌证书。
可信的网站才是关键
由于合作方是一些国外“非主流”品牌,这些SSL证书在技术升级、兼容性问题、产品种类上往往存在一些缺陷。致命的是,网民在登录采用该类SSL证书的网站时,看到的是一个外观是国产标志,点击查验证书却是另外一幅模样的混合证书。如何才能让遍及各地的网民能相信网站,让SSL证书成为保护网站安全的利器,不能不让我们再次思考。尤其对于信誉良好、服务领域广阔、拥有庞大客户的网站来说,其公司品牌、网站可信度都将承受巨大风险。看似美丽的红苹果,往往难以下咽。
全球通用的“信任根”
世界上的SSL证书颁发机构成百上千,各自产品在技术、颁发流程不尽相同。为了保护网民的利益,浏览器机构、SSL证书颁发机构等多方合作,通过严格审查只为一些技术可靠、运营规范的SSL证书颁发机构提供“信任根”预埋。当网民登录拥有“信任根”的网站时,浏览器默认网站是合法机构,而没有“信任根”的则是自动弹出安全提示警告,提示网民该网站存在安全风险。
数字证书是一种特殊商品,它所传达的是信赖、可信和安全。而CA数字认证中心是证书的颁发机构,负责检验和签发SSL证书。但全世界有众多CA机构,技术实力、经营状况各不相同,如何对这些签发证书的CA机构进行界定,证书信任根起到了关键作用。目前浏览器中,只会根预埋一些拥有强大技术实力的数字认证中心的根证书,例如VeriSign。而对于其他未经验证的数字认证中心签发的SSL证书,当用户在访问网站时,浏览器就会自动弹出安全警示窗口。
什么是SSL?
SSL 是一个安全协议,最初是由美国网景 Netscape Communication 公司设计开发的,全称为安全套接层协议 (Secure Sockets Layer) 。它采用公开密钥技术为传输通信提供如下帮助:
1. 信息传输的保密性;
2. 数据交换的完整性;
3. 信息的不可否认性;
4. 交易者身份确定性。
换句话说,服务器部署SSL证书后,其核心能就是确保服务器与浏览器之间的数据传输是加密传输的,在数据传输过程中不被篡改或被解密。浏览器上,用户可通过“金色锁型”标记,得知是否已处于SSL安全保护,如果更先进的VeriSign EV SSL证书,那么除了“锁型”标记外,浏览器的地址栏还会变成绿色。
SSL证书是否会影响到速度和流量
因为要为每一个SSL连接实现加密和解密,所以会增加服务器CPU的处理负担,但一般不会影响太大。但考虑到对于客户隐私安全的保护,根据相关调查显示,在重要页面部署知名品牌的SSL证书,不但不会流失客户,反而有效促进客户成交。
为了更好的利用SSL证书技术,建议可注意以下几点,缓解服务器负担:
(1) 仅为需要加密的页面使用SSL,如登录或需要提交客户数据的页面,如(https://www.domaincom/login.asp),不要把所有页面都使用https://,特别是访问量最大的首页;首页和其他页面可以通过部署VeriSign动态签章标志,提示客户此网站安全可信。
(2) 尽量不要在使用了SSL证书的页面上设计大块的图片文件和其他大文件,尽量使用简洁的文字页面。并通过文字或VeriSign动态签章标志提示消费者,页面处于SSL证书安全保护状态。
如果网站交易量或访问量异常庞大,天威诚信建议客户可购买SSL加速卡来专门负责SSL加解密工作,这样可完全不增加服务器任何负担。此外,增加服务器也是一个不错的选择。
crt、cer、key、der、pem分别是什么格式证书文件?
证书文件的扩展名只是一种使用习惯上的区别。在apache下,习惯用crt作为证书文件扩展名,在IIS等一些平台下,则习惯用cer作为证书文件的扩展名。Key则通常是私钥文件的扩展名。而pem则是包括crt、cer、key、der等文件,或者将多个文件粘贴到一块的统称。
SSL证书做双向认证是否需要安装第三方的插件
常用的webserver 中间件都会有支持客户端认证的功能,配置SSL证书只需要修改配置文件便可以启用客户认证的功能,而不需要安装第三方的插件。
托管服务器,是否可以安装SSL证书
99%以上的服务器和客户端浏览器都是支持SSL。虚拟主机一般也可以安装应用服务器证书,但具体能否安装服务器证书还要看服务提供商是否提供该服务。一般独享的主机服务提供商会给予完全管理权限,可以直接安装服务器证书。如果是多人共享的主机,通常也可以通过和服务提供商沟通,购买独立IP,或购买SSL许可的方式来安装SSL证书。
如果服务器换了IP地址,原来的SSL证书是否还能使用?
一般SSL证书都是绑定域名的,服务器更换IP地址不会有任何影响。只要域名不变,原来的SSL证书当然照样可以用,重新解析到新的IP地址即可。但如果您申请的SSL证书是为IP地址申请的,则服务器换了IP地址,原来的SSL证书就不能用了。所以,要根据业务情况需要决定是为您的网站域名还是IP地址来申请证书。
如果改变了硬件、软件(web server),SSL证书是否需要重新申请?
SSL服务器证书与硬件无关,如果系统和web server版本相同,也不会有任何影响。但如果改变了服务器软件,证书就要重新申请。因为SSL服务器证书不可以更换平台使用。
IIS上如何在同一个站点上请求多张证书,或更新、更换证书
微软IIS 6.0中,每一个网站只允许同时发出一个CSR请求。如果在已有的请求之上重新创建一个新的CSR请求,原始请求(和私钥)将被覆盖。所以在正式提交CSR请求后,请不要在原有站点上对服务器做证书方面的配置。
如果要为同一个站点请求多张证书,或更新、更换证书,可以先创建一个临时站点,在临时站点上做证书的请求操作。在证书正确安装到临时站点上之后,则可以删除该临时站点,并在正式的站点上用“指派现有证书”或“替换当前站点证书”的方式来切换证书的应用。
什么是SGC技术
SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU),主要是考虑到2000年以前美国政府对高强度加密算法(128位)出口限制的因素而推出的,由于出口管制的原因,2001年以前推出的浏览器版本(如:IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法,但由于电脑硬件技术和CPU处理速度的快速提高,使得破解40位加密算法只需几秒钟,而破解56位加密算法也只需几天时间。
为了加强美国以外的国家的电子商务和网上银行的安全,SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EKU),也就是说:即使受出口限制的40位或56位浏览器或服务器,只要使用支持SGC技术的SSL证书,就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。
一般一张SSL证书的签发周期有多长?
多年来,VeriSign与天威诚信建立保持了良好合作关系,天威诚信主要鉴证人员均接受过VeriSign专业培训。双方的良好沟通,能够保证客户在最短时间内顺利完成SSL证书发放。具体签发时间依据证书鉴证复杂程度稍有不同,机构SSL证书:2-3工作日,EV SSL证书: 7-10工作日。
客户将鉴证资料提供给天威诚信,例如营业执照、电话账单等,这一过程是否安全?
天威诚信和VeriSign在国内最早开展SSL证书签发工作,双方在共同组建了SSL证书鉴证中心。VeriSign和天威诚信均十分关注客户隐私的保护,天威诚信整个环节严格按照标准鉴证流程进行,而且天威诚信作为国内仅有的几家通过ISO9001质量管理体系验证的数字认证中心,签发及鉴证流程均可做到安全可控。
SSL证书签发后,是否可以提供技术支持或其他服务?
天威诚信在北京、上海、深圳、杭州、成都均设有分支机构和办事处,可以为客户提供专业的技术支持和快捷的本地化的客户服务。此外,天威诚信开通了7×24小时的电话及在线支持服务,并提供5×8小时的上门服务(限北京、上海、深圳、杭州、成都),证书有效期内每年三次回访服务等。
除了国内公司可以通过天威诚信申请证书,国外公司驻华机构是否也可以通过天威诚信购买VeriSign证书?
天威诚信拥有丰富的签发经验,即便总部设在国外的在华办事机构也可以通过天威诚信顺利完成证书签发,而不需要绕道国外完成复杂的签发过程,可以享受到与本地客户同等的服务。
若申请VeriSign的证书,需要提供哪些资料,是否需要将资料都翻译成英文的或出具英文的公正信函?
答:在遵循中国法律条款的前提下,天威诚信和VeriSign经过长年的磨合,共同制定了符合中国国情的标准的本土化鉴证流程。因此,并不需要客户提供英文证明文件或特别配备英文流利的工作人员,更不用客户起早贪黑的倒时差。天威诚信国内鉴证服务团队在严格遵循鉴证流程的前提下,可以保证证书签发安全快捷。
对私钥、密码等重要信息,天威诚信的鉴证管理员是否也可以在颁发过程中轻松获得。
客户最终会在自己的客户端生成证书私钥。基于PKI/CA技术的基本原理,即便是证书生产商VeriSign也不可能掌握客户的私钥。客户真正要做的是保管好自己的私钥,不要轻易导出或复制备份,因为这一过程实际上存在重大安全隐患,一旦私钥丢失将会对系统造成隐患。
证书签发后VeriSign公司是否可以随意吊销?
天威诚信和VeriSign均无权利在不经客户允许的情况下随意吊销客户证书。
证书不慎丢失,该怎么办。证书是否需要重新签发,时间需要多久。
若客户不慎删除证书或重装服务器,但未备份证书,而导致客户在服务器上的证书丢失。天威诚信可以在客户证书签发之日起三十日内,免费为客户重新签发全新的证书。此过程最短可在一个工作日内完成。
如果已经使用SSL证书,想改签VeriSign证书,是否可以免费升级?
在签发有效期内,VeriSign证书无法升级换代,变更产品品种。但对于其他品牌证书,如果希望更新成VeriSign证书(EV SSL证书除外)。可以根据您现有证书的过期日,在您的证书中免费添加最多 12 个月的有效期。为了执行此更新,VeriSign会连接到您的服务器,验证是否存在您正在订购的并具有相同完整域名的在用有效证书。
天威诚信与VeriSign在SSL证书产品合作有多久,是否出现无法签发的问题?
天威诚信所能做就是要求我们每一名咨询顾问对客户负责,从头至尾的帮助客户完成整个申请过程。在正式申请付款前,提早发现出现问题,尽可能不给客带来不便,缩短因为沟通不畅,业务不熟练造成的证书签发时间的延误。
天威诚信是VeriSign在中国区的首要合作伙伴,长达十一年的合作历史让我们更了解客户实际需求及申请过程需要注意的问题。但SSL证书作为一个与信任安全息息相关的产品,颁发机构作为阻击欺诈钓鱼网站的重要一环,必须严格遵循鉴证流程,因此我们并不能保证每名客户均可以成功申请。
截止09年,全球部署的EV SSL证书数量已经超过11,000套,EV SSL已经成为增长最快的技术之一。EV SSL证书于2007年2月正式推出,被 PayPal、eBay、Travelocity、Schwab等在线品牌最早采用,之后,该证书的采用数量迅速增长。
2008年,最新、最安全的网络浏览器版本在全球范围内占据了主导市场地位,EV SSL的采用率也进一步上升。
根据Net Applications公布的最新浏览器市场份额报告,当今,超过70%的网民在访问受到EV SSL证书保护的网站时可以“看到绿色”。根据一些应用VeriSign EVSSL证书的网站统计,该证书对于其利润影响显著。
英国的Fitness Footwear发现放弃购物车的数量下降了13.3%,与销售人员通话的数量提高了16.9%。
新加坡的SISTIC发现销售量提高了14%。
美国的DebtHelp发现投资回报率达到16,000%。
美国的Flagstar银行使在线转换数量提高了10%以上。
Canada Drugs发现转换率提高了33%,平均交易额提高了27%。
瑞典的Scandinavian Designs发现网上销售量提高了8%以上。
Paper- Check.com创始人和副总裁Darren Shafae表示:“EV SSL证书对我们公司的影响令我们感到震惊,注册率提高了87%,提高的幅度非常大。 它不仅在网上对传输加密,并且向客户保证接收者是其预计发送信息的合法公司,而不是冒牌货。这正是EV SSL证书绿色地址栏的意义所在。”
SSL协议是 NetScape 公司于 1994 年提出的一个关注互联网信息安全的信息加密传输协议,其目的是为客户端(浏览器) 到服务器端之间的信息传输构建一个加密通道,此协议是与操作系统和 Web 服务器无关。
同时, NetScape 在 SSL协议中采用了主流的加密算法(如: DES 、AES 等) 和采用了通用的 PKI 加密技术。目前, SSL已经发展到 V3.0 版本,已经成为一个国际标准,并得到了所有浏览器和服务器软件的支持。
部署了SSL证书能说明什么?
起初, SSL证书的主要角色就是为网站的机密数据提供加密传输功能,从而确保机密信息的机密性、完整性和不可否认性。但是,对于电子商务来讲,用户在向网站提交 机密信息之前如果不能信任此网站,那再高强度的加密也是没有用的,因为加密只是一种技术保护措施。
所以, SSL证书标准也在不断完善,使得 SSL证书不仅起到加密作用,而且成为了网站的电子身份证或称“数字营业执照”,因为 SSL证书中将包含经过证书颁发机构验证的单位名称和所在地区等信息,这样,就大大方便了在线用户能实时查验此网站是否是用一个现实世界的实体所拥有和是 否就是网站上所声称的单位,从而让用户放心地从事在线交易。
不严格的身份验证就颁发SSL证书给在线交易带来了信任危机
数字证书颁发机构在维护在线身份的真实性上起到关键的作用,因为其颁发的证书就代表申请单位在网络世界的数字身份,数字证书颁发机构一定要严格验证申请单位的真实身份,并把通过其验证的信息包含在数字证书中。
但不幸的是,由于后来的数字证书颁发机构为了占领市场或为了降低成本,就推出了只验证域名所有权的 SSL证书,而不要求提供营业执照并验证,这种 SSL证书只能起到加密作用,而不能起到最关键的真实身份认证的作用。
而更糟糕的是:这种 SSL证书在浏览器中同SSL证书一样显示一样的安全锁标志,只要仔细查看证书主题才能发现:不显示单位名称(只显示域名)。但一般用户是不会查验证书详细信息的,只是在浏览器中看到有安全锁就以为安全了。
如果两个网站:( www.ABCcompany.com)和 (www.ABC-company.com) 都申请了 SSL 证书,如何判断哪个网站确实是 ABC company 的网站呢?这就是需要第三方的验证资料,这体现在 SSL 证书上,需要仔细查看证书的主题信息,因为都会显示一个“安全锁”标志,因为假冒网站是非常容易获得只验证域名所有权的 SSL 证书的,但这就给在线欺诈分子一个可乘之机,因为一般网上消费者根本就不能识别此 SSL 证书是否已经验证真实身份。
EV SSL 的推出就是为了解决SSL证书的信任危机
正是由于以上 SSL证书中存在的问题,就诞生了 EV SSL 证书。其中最为著名的便是VeriSign EVSSL证书。
当网站部署了 EV SSL 证书后,让用户使用 IE7 或其他新版浏览器访问此网站时,其地址栏是绿色的,而地址栏右边的安全状态栏会循环显示此网站所属的单位名称和颁发此证书的证书颁发机构,如下图所示,绿 色表示此网站的身份是经过严格的身份验证的,而其他 SSL 证书则仍然显示一般的白色:
SSL 证书在网站信息安全上是至关重要的,它保护了信息的机密性、完整性和身份认证。而电子商务不仅需要加密,更重要的是需要增强在线消费者信心,让消费者相信 电子商务网站的真实身份,所以严格身份验证的 SSL 证书对于电子商务来讲是至关重要的。
相信 EV SSL 证书的推出,一定会为电子商务提供更好的安全保证和身份保证。这样,电子商务才能继续快速而健康地发展,为人们提供安全可信的在线购物和其他在线服务。
尽管“金色安全锁”型标记,可以提示访问者页面已经过加密处理,隐私信息不被随意窥探。但一些技术实力较弱、未经身份认证的低端品牌证书依然充斥着市场,网民仍在如何为简单的识别欺诈钓鱼网站而苦恼。
绿色地址栏技术无疑可以为金融站点、电子商务类网站带来极大地便利,网站不用去担心访问者无法识别公司站点,只要告诉网民绿色地址栏,便可让线上交易将变得更加安全。
增加提示信息“为什么地址栏会变绿”
在购买通道添加简单的小提示,告诉网民注意地址栏为何变绿。根据VeriSign的相关调查显示,网民更愿意看到在绿色地址栏的附近看到相关的提示信息。例如在部署了绿色地址栏的页面顶部,动态签章标志附近,或其他与网站信息安全相关的页面上。
除此之外,网站还可以在线下的市场推广活动中,如广告、直邮等活动中加入关于绿色地址栏的技术介绍。这些活动都有助于消费者建立对于网站的信心。
您可以在页面上放置安全提示图片,并增加“提示文字”
130字的VeriSign EVSSL证书提示文字
你正在访问的页面已部署了网络安全业内最高级别并经严格身份验证的VeriSign EV SSL证书。部署了VeriSign EVSSL证书的页面将自动变为“https”开头,并在高版本的浏览器上将出现绿色地址栏。地址栏上还会滚动显示网站身份及证书颁发机构信息。访问绿色地址栏网页时,一定要留意您正在访问网站的真实身份信息。
35字的VeriSign EVSSL证书提示文字
你正在访问的页面已部署了网络安全业内最高级别并经严格身份验证的VeriSign EV SSL证书。
75字的VeriSign EVSSL证书提示文字
你正在访问的页面已部署了网络安全业内最高级别并经严格身份验证的VeriSign EV SSL证书。部署了VeriSign EVSSL证书的页面将自动变为“https”开头,并在高版本的浏览器上将出现绿色地址栏。
商家
1. 采用最新的VeriSign EVSSL证书,并提示消费这绿色地址栏的含义,将EVSSL证书部署在主页和每一个涉及交易的页面
2. 不要提供未部署SSL安全链路通道的页面用于访问登录
3. 当登录帐户时,为客户提供附加安全可选项,如为客户提供双因素认证技术
4. 考虑后台基础风险管控解决方案,检测客户帐户异常交易变动
5. 不要向客户发送带链接的电子邮件,并提醒用户下载安装最新版本的浏览器
网民
1. 下载最新的浏览器版本,例如IE7.0或更高版本,FireFox 3或更高版本,Google Chrome, Safari,Opera.
2. 为敏感帐户配置强身份认证技术,如智能卡、或其他形式的双因素认证技术
3. 尤其小心要对通过邮件发送过来的链接,同时不要通过链接打开网站,最好直接输入网页地址。
4. 注意浏览器上的绿色地址栏。VeriSign EVSSL证书在确认网站真实身份并对网站拥有所属权后方颁发证书。网上犯罪者由于无法为虚假网站伪造EVSSL证书,因而无法将绿色地址栏显示到未经审核的站点。
只要有加密就是安全的吗?
根据现在计算机的硬件性能,目前56位以下的密钥长度已经非常容易破解,即在几十分钟的时间内就可以试完所有密钥空间。
DES 算法是应用最广泛的对称密钥加密算法之一,它有效密钥长度为56位。在RSA公司举办的系列DES破解挑战赛中,1997年用时96天破 解,1998年1月用了41天,1998年7月,Deep Crack工具耗时56小时完成了破解,在1999年1月,Deep Crack只用22小时15分钟完成了破解。根据摩尔算法,每隔18个月,硬件性能提高一倍。
什么是加密强度?
在对称密钥加密算法中,对于明文的加密和解密需要用同一密钥(key)进行,密钥的长度直接影响到该算法是否容易破解。加密强度就指密钥长度,即位数。目前常见的密钥长度有40位、56位、128位和256位。在密钥算法不存在漏洞的情况下,通常破解(即猜出密钥)需要用到强力破解,即把字母、数字等合法字符的所有组合一个个去试,所有的组合构成密钥空间。如下表所示。
密钥长度密钥空间
40位 1,099,511,627,776
56位 72,057,594,037,927,900
128位 340,282,366,920,938,000,000,000,000,000,000,000,000
位数越高,加密强度越大,越不容易破解。加密的信息在传输过程中越安全,即SSL(secure sockets layer)安全加密传输。
目前美国政府规定在标记为高敏感的数据必须采用192或256位加密强度的加密算法,如AES。
什么是SGC技术
随着计算机硬件的更新换代,secure ssl协议(secure sockets layer)通过协商会话建立的加密强度(如40位、56位)不能满足很多商业数据的安全传输了,这是Yankee Group经过368次详细的测试后得出的结论。
SGC是一种服务器端使用的SSL证书,它可以影响客户端与服务器端会话时对于加密强度的选择。
安全强制型SSL证书是高应用安全需求的最佳选择
由于我国相关政策法规的缺乏,很多网上银行、网上证券、电子商务网站在选择SSL证书时随意性很大,比如某证券在线交易网站用了只鉴证域名的SSL证书,不仅加密得不到保证、用户更无从判断交易网站的真假,给在线交易安全带来了极大隐患。而与此同时,SSL证书家族其证书性能正逐步升级,尤其是反击钓鱼欺诈网站独具特色EVSSl证书。据了解,国际领先的数字认证中心VeriSign已与其国内官方合作伙伴天威诚信在国内发放EVSSL证书,其独有的绿色地址栏技术和强大的加密技术,对适合交易及访问量庞大的商务网站来说确实是一个好消息。预计不久,代表安全绿色的地址栏将很大程度上帮助网民抵御欺诈钓鱼网站威胁。
加密强度是由SSL证书决定的吗?
要回答这个问题,我们需要了解secure ssl协议会话过程和SGC技术。
secure ssl协议会话是由用户端浏览器和服务器进行安全通信时建立的。如下图所示。
客户端发起连接,并提交支持的加密算法请求后,服务器端发出自己的证书、密钥交换方式,并要求提供客户端证书,客户端发出客户端证书(如果没有,就不用)、客户端密钥交换方式、服务器证书的确认,商定加密算法后,完成会话。双方开始使用加密传输信息。
从上述会话过程上看,加密强度是由客户端和服务器端协商的结果。此时服务器端的SSL证书并不影响加密强度。
但是如果服务器端的SSL证书用到了SGC技术,例如VeriSign Secure Site Pro(128位强制型),客户端在收到并确认是SGC证书后,会调高它所提交的密钥强度,从而使用双方最终建立的密钥长度达到SGC要求的加密强度,从而在最终在安全链接层(secure sockets layer)建立起加密通道。
网民登陆网页,有的时候浏览器会弹出警告显示网站安全证书有问题,提示“证书错误”。这是由于网民访问的页面部署了SSL证书,网页即将进入加密链接页面。但网站服务器部署的网站安全证书(SSL证书)并不是浏览器默认的可信证书,即证书链不受信。浏览器默认的安全机制,自动提示网民要当心网站的安全可靠性。
笔者建议最好访问受信的网页,因为许多安全厂商均可以提供网站安全证书,但只有根预埋在浏览器中的网站安全证书才经受过严格安全技术测试,并已被广泛接受。以前也曾发生过欺诈钓鱼网站可以通过技术手段伪造一张网站安全证书,以骗取网民信任的事件。并且相关机构调查,目前国内绝大多数正规网站均部署的是跟预埋技术的网站安全证书,如VeriSign SSL证书。如果确实需要访问该网页,最好从其他渠道获取网站联系方式,电话确认该页面是否安全。
