科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道EV SSL 的角色是增强在线信任

EV SSL 的角色是增强在线信任

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

SSL 协议和 SSL 证书已经被广泛用于几百万个银行网站和电子商务网站来保护在线消费者的交易安全。SSL 证书由数字证书颁发机构 (CA) 颁发,消费者已经把浏览器中的安全锁作为一种安全和信任的标志。

作者:TechTarget中国 来源:TechTarget中国 2008年10月9日

关键字: SSL Web安全

  • 评论
  • 分享微博
  • 分享邮件

  SSL 协议和 SSL 证书已经被广泛用于几百万个银行网站和电子商务网站来保护在线消费者的交易安全。 SSL 证书由数字证书颁发机构 (CA) 颁发,消费者已经把浏览器中的安全锁作为一种安全和信任的标志。

  信任 (Trust) 对于电子商务来讲非常重要,是把网站访问者变成购买者的最关键因素。目前互联网的在线用户数与电子商务交易的用户数的比例是非常非常的低的主要原因是用户对在线交易缺乏信任,担心会有欺诈,因为用户与网上所声称的商家并没有见面,而消费者在街上购物时看到了实实在在的商店就能放心地购物。如何让消费者也能在线“看到”实实在在的商家呢?如何方便地让在线消费者也相信此网站的实体确实是一个实实在在的商家呢?

  著名调查公司 Gartner 指出:在过去的一年来,有将近两百万美国人成为网上欺诈的受害者,并估计美国有 5700 万互联网用户都收到过假冒知名网站或银行的要求用户更新个人信息的欺诈电子邮件,而其中有 180 万用户因此而泄露了机密的个人信息。

  而现在,新标准的 EV SSL 证书的推出,就是给用户一个非常直接的方式 ( 地址栏为绿色 ) 来表明他 / 她正在访问的网站的实体确实是一个实实在在的商家,其真实身份已经通过权威的第三方严格身份验证,用户可以对其经营实体的身份真实性放心。而商家赢得了用户的信任就赢得了生意。

  * 信任才有商机

  在过去的 10 年里,各种消费者杂志、商业团体和信息安全服务提供商都在不断地教育人们一些在线安全的常识,所以,现在的许多消费者都知道了浏览器下面的安全锁的重要性,用户要在线购买您的产品就要让他 / 她确实是安全的,是不会泄露其个人机密信息的,而部署了 SSL 证书就能让用户可以看到您是非常重视其安全的,并且确实他 / 她的机密信息是加密传输的。

  但是,由于只验证域名的 SSL 证书的推出,使得用户无法直观地识别没有验证身份的网站和已经验证身份的网站有什么不同。现在, EV SSL 证书的推出,就突出了没有验证身份的网站和已经验证身份的网站的不同,通过全球统一标准的严格身份验证的网站就是会显示为绿色,让您的客户相信他 / 她正在访问的网站确实所声称的单位,其真实身份是通过权威第三方验证的。如下图所示:

浏览器的绿色安全通道,让您的客户信任您,信任才有商机!

  * 不严格的身份验证不能带来信任

  建立在线信任的基础是身份验证,一个用户可以通过查看网站所部署的 SSL 证书来验证其真实身份。但是,由于只验证域名的 SSL 证书 (Low Assurance SSL) 的推出,使得只验证域名所有权的弱身份验证 SSL 证书与已经人工严格验证身份的 SSL 证书 ((High Assurance SSL)) 表面看起来没有什么不同,都同样显示一个安全锁标志,只要查看证书内容才会发现不同,但普通用户一般是不会查看证书内容。

  这带来什么后果?这给假冒网站钻了空子,由于不验证真实身份使得一个假冒知名机构的网站也一样有 SSL 证书,一样显示一个安全锁标志。其最终的恶果是使人们失去了对 SSL 证书的信任,同时也对电子商务的安全失去了信心。

  * 数字证书颁发机构 (CA) 在电子商务中扮演的角色

  数字证书颁发机构 (CA) 在互联网安全生态链中扮演一个非常重要的角色,因为 CA 充当可信任的第三方在验证申请者的真实身份后才颁发 SSL 证书。 CA 需要有非常可靠的公钥基础设施 (PKI) 、身份验证专业人才和流程、客户支持、安全评估、证书数据库管理等等,这些系统还要支持不同的身份验证应用需要 ( 如服务器验证、客户端验证和软件代码验证等等 ) 。

  可以说, CA 是保护最终用户信息安全的第一道关,因为 CA 在颁发证书之前对申请证书的网站进行了身份验证,而如果 CA 没有进行严格的身份验证就会给互联网用户带来安全威胁,主要包括:

  (1) 如果没有验证申请单位的真实身份或没有检查申请单位是否有权使用此域名,则恶意假冒者有可能使用 SSL 证书来欺骗用户此网站就是 SSL 证书中所指的单位的真实网站。

  (2) 如果不验证申请单位是否存在 ( 不验证营业执照 ) ,则网站上所声称的公司名称可能就是一个实际上不存在的公司 ( 即:没有合法注册的公司 ) ;

  (3) 如果不验证申请人的身份和验证是否授权代表某机构申请证书,则恶意假冒者极有可能使用一个被假冒方的营业执照来申请证书,以达到假冒和欺诈的目的。

  目前,证书颁发机构一般在只验证域名所有权的 SSL 证书 ( 超快 SSL) 中不显示单位名称的,以免被非法利用,而为了防止第 (3) 种情况,一般都要求除了提供营业执照外,还需要提供第三方证明文件和电话确认。

  但由于目前的各个 CA 的身份验证过程都是不一样的,严格程度也不一样,所以,全球领先的各大数字证书颁发机构才发起制定了一个全球统一的、更加严格的身份验证标准来颁发 EV SSL 证书,从而为最终用户信息安全的严格把好第一道关。并联合各大浏览器开发商给予 EV SSL 证书不同于其他 SSL 证书的显示方式 ( 地址栏变绿 ) ,让最终用户可以非常直观地知道正在访问的网站是通过权威的数字证书颁发机构严格身份验证的真实存在的经营实体,从而放心地从事在线交易。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章