數字證書頒發機構 (CA) 在互聯網安全生態鏈中扮演一個非常重要的角色,因為 CA 充當可信任的第三方在驗證申請者的真實身份后才頒發 SSL 證書。 CA 需要有非??煽康墓€基礎設施 (PKI) 、身份驗證專業人才和流程、客戶支持、安全評估、證書數據庫管理等等,這些系統還要支持不同的身份驗證應用需要 ( 如服務器驗證、客戶端驗證和軟件代碼驗證等等 ) 。
可以說, CA 是保護最終用戶信息安全的第一道關,因為 CA 在頒發證書之前對申請證書的網站進行了身份驗證,而如果 CA 沒有進行嚴格的身份驗證就會給互聯網用戶帶來安全威脅,主要包括:
(1) 如果沒有驗證申請單位的真實身份或沒有檢查申請單位是否有權使用此域名,則惡意假冒者有可能使用 SSL 證書來欺騙用戶此網站就是 SSL 證書中所指的單位的真實網站。
(2) 如果不驗證申請單位是否存在 ( 不驗證營業執照 ) ,則網站上所聲稱的公司名稱可能就是一個實際上不存在的公司 ( 即:沒有合法注冊的公司 ) ;
(3) 如果不驗證申請人的身份和驗證是否授權代表某機構申請證書,則惡意假冒者極有可能使用一個被假冒方的營業執照來申請證書,以達到假冒和欺詐的目的。
目前,證書頒發機構一般在只驗證域名所有權的 SSL 證書 ( 超快 SSL) 中不顯示單位名稱,以免被非法利用,而為了防止第 (3) 種情況,一般都要求除了提供營業執照外,還需要提供第三方證明文件和電話確認。
但由于目前的各個 CA 的身份驗證過程都是不一樣的,嚴格程度也不一樣,所以,全球領先的各大數字證書頒發機構才發起制定了一個全球統一的、更加嚴格的身份驗證標準來頒發擴展驗證(EV)SSL證書,從而為最終用戶的信息安全嚴格把好第一道關。并聯合各大瀏覽器開發商給予擴展驗證(EV)SSL證書不同于其他 SSL 證書的顯示方式 ( 地址欄變綠 ) ,讓最終用戶可以非常直觀地知道正在訪問的網站是通過權威的數字證書頒發機構嚴格身份驗證的真實存在的經營實體,從而放心地從事在線交易。根據09年最新的Netcraft結果,全球領先網站共部署13,000余個擴展驗證(EV)SSL證書,其中,超過10,000個是由VeriSign(威瑞信)頒發的。經驗證,VeriSign擴展驗證(EV)SSL證書可以有效降低網上訂單的放棄率,提高成交率。通過使用VeriSign擴展驗證(EV)SSL證書,交易量提高可達27%,網上收入提高50%。另外,電子商務網站Virtual Sheet Music在采用擴展驗證(EV)SSL證書后,銷售量提高了13%,效果十分顯著。更為可喜的是,目前VeriSign已與天威誠信數字認證中心(iTrusChina)攜手推進國際上最為先進的綠色地址欄擴展驗證(EV)SSL證書在國內的發展,共同抵御欺詐釣魚網站對網民的直接損害。