SSL安全套結字層協議(secure sockets layer),提供了一個傳輸層安全的應用協議,解決互聯網服務網站的身份識別,機密、隱私信息的加密傳輸問題。SSL部署的過程中至關重要的環節是SSL網站安全證書(certificate ssl)的申請與配置。 決定購買何種SSL網站安全證書,不僅是一個技術問題,更涉及到公司的戰略、服務意識、管理等一系列問題。本文將從管理層面對服務器證書的選擇進行討論。
管理層面,是否根內置?
根內置,是一個證書領域的專門術語,指CA機構通過相關國際機構審查后,與瀏覽器生產商協調后,發布在瀏覽器內。瀏覽器廠商為CA機構根證書的真實性負責。
1、自己簽發的證書與根內置的第三方機構頒發的證書有什么不同?存在什么風險?
國內有些網站采用自簽名的SSL網站安全證書(certificate ssl)提供公眾服務,卻并不了解其中蘊藏著極大的安全風險。SSL網站安全證書的兩個關鍵功能,除了廣為所知的加密通道外,網站身份識別的作用在釣魚網站泛濫時尤為重要。CA機構需要極其嚴格的審核過程,才能把根植入瀏覽器內。通過根內置的證書才能在對用戶透明的前提下完成對服務其身份的認證。 自簽名的證書由于需要客戶端下載根證書才能完成SSL網站安全證書的驗證過程,而把對根證書真偽的判斷強加給對此毫不知情的用戶,顯然存在極大的風險。因為,釣魚網站可以偽造自簽名的SSL網站安全證書欺騙用戶。
2、根內置與非根內置的第三方機購頒發的證書有什么不同?存在什么風險? 由于實施了《電子簽名法》,國內機構在頒發合法的客戶端證書的同時,開展SSL網站安全證書業務,如果該類SSL網站安全證書用于內部應用,可以實現相應的安全應用,但對于互聯網應用服務,卻存在極大的安全風險和隱患。 從本質來講,非根內置的SSL網站安全證書和自簽名證書有同樣的風險,釣魚網站在偽造SSL服務器證書的同時可以偽造第三方機構的根證書。而由于這種偽造造成的損失,服務提供商和第三方機構間的責任劃分存在明顯的隱患。
管理方面
即使把SSL服務器證書選擇限定在根內置證書的范圍內仍存在太多的選擇。
1、品牌是重要的嗎? SSL網站安全證書(certificate ssl)本身也具有品牌性的,要考慮提供互聯網服務的品牌是否與服務器品牌相適應,例如,從VeriSign來說,VeriSign本身也提供三種品牌的服務,VerSign的高端產品,以及服務于非洲、或國際市場的中低品牌thawte 、geotrust。而從VeriSign的品牌來說占據世界500強的94%,可見,SSL網站安全證書品牌是和互聯網業務相輔相成的。采用高端的SSL網站安全證書品牌對提高服務的互聯網應用的品牌價值具有重要的意義。
2、品牌的服務質量如何? SSL網站安全證書之所以具有品牌性,和其提供的服務價值密不可分,服務質量可以分為三個方面 服務的可延續性,SSL服務器證書作為持續服務的產品,其延續性和互聯網應用的可持續性密切相關,而作為商業機構的SSL服務器證書頒發機構,處于底層的第三方機構由于自身業務能力,公司實力卻存在破產或者停業的風險。從而,影響所提供的互聯網應用服務自身的品牌價值。 服務的嚴謹性,SSL服務器證書要證明所代表互聯網服務的網站身份,因此需要嚴格的鑒證審批流程,而嚴謹的鑒證流程是保障互聯網服務提供商和最終用戶權益的必要條件。因此,所謂的快速發證和無鑒證流程在提供便利性的同時,是以犧牲客戶利益和帶來風險為前提的。 服務的本地化,目前SSL服務器證書一般均是國外機構在中國的戰略合作伙伴或代理頒發,戰略合作伙伴一般可以提供良好的本地化服務,而代理商魚龍混雜,需要通過對公司實力、服務時間等仔細甄別,判斷是否能提供適當的本地化服務。
3、證書的價值如何體現? 證書的價值在于SSL網站安全證書品牌帶來的良性促進,以及合法的本地利益保障,由于國內外企業制度,企業身份的認證過程不同,因此,需要符合本地法律的鑒證流程保障合法利益。本地鑒證是根據國情制定的鑒證策略,互聯網服務上合法利益受到損害時可以得到中國法律支持的利益保障。因此,能提供本地見證服務,也是SSL網站安全證書選擇中關鍵的一環。 本文討論了SSL網站安全證書選擇時需要關注的環節,以及一些選擇的風險和安全隱患。當然,技術在不斷進步,管理和服務模式不斷更新,需要根據實際情況和背景調整思路,以便做出有利于互聯網服務發展的更好選擇。