作为网站信息安全的一项基础配置,越来越多的网站需要安装SSL证书(服务器证书)来认证网站身份和进行HTTPS流量加密。SSL证书由数字证书管理机构(简称CA)签发,为了加快SSL证书的普及和提升自身SSL产品市场占有率,部分CA机构也对外提供免费的SSL证书。
SSL证书主要分为DV SSL证书、OV SSL证书和EV SSL证书三种。CA在签发OV型证书时,会要求网站提交身份资质文件(如企业营业执照、组织机构代码证等),经过人工审核后才会颁发。如果是EV SSL证书证书,还会在此基础上追加律师函的审核。而DV SSL证书证书,往往通过程序自动匹配申请人或机构信息和所申请的域名信息,只要匹配一致就能获得证书,不需要人工审核,但对申请人身份信息真实性、申请机构是否经过合法注册等问题有所忽视。由于在审核过程中不需要人工,所以DV SSL证书成本很低,可以作为免费证书发放。
但这种不严谨的审核方式造成***只需让申请信息与域名信息一致就能轻松获得证书。免费的DV SSL证书是安全级别最低的SSL证书,它仅能起到HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者身份的真实性验证。随着用户越来越信任已安装SSL证书的网站,***也会利用这种信任,通过获得免费证书为自己披上看似可信的外衣
对此,国内CA机构CFCA SSL产品研发负责人表示:在目前免费证书身份验证机制还不完善的情况下,出于对用户、网站自身安全的考量,管理员应慎用免费SSL证书,而大型企业或机构网站、尤其涉及用户隐私及金融交易的电商类平台,应优先考虑拥有完整身份验证机制的OV SSL证书或EV SSL证书。
总的来说,免费的SSL证书(DV SSL)虽然申请流程简单、签发快速,但仅支持加密功能,无法验证服务器身份,由此引发的潜在威胁较大(此前已有案例),建议谨慎采用,在选购付费SSL证书时,专业人士指出,应尽量选择权威机构及其合作代理商家对一般的网站或个人博客而言,使用一个DV SSL证书证书即可。
以上文章由SSL盾小编整理发布,更多SSL常见问题【www.ssldun.com】
原文地址:https://blog.51cto.com/14379936/2407805