天下沒有“免費的午餐”,申請SSL憑證選擇CA很關鍵!

天下沒有“免費的午餐”,申請SSL憑證選擇CA很關鍵!

如今,越來越多的網站開始選擇申請SSL憑證對用戶隱私和資料安全加以保護,而免費SSL憑證的出現則讓很多網站經營者開心樂了一把。但這樣的“免費午餐”是不是真的占到了便宜呢?

近年來隨著https加密的普及,在我們的潛意識中早已形成了這樣的認知:https可以防止“釣魚”網站,網站有https標識就表明已經進行了https加密,可以放心地訪問,甚至是輸入賬號密碼等敏感資訊了。但看到下面這個例子,你就會明白“免費午餐”不好吃也不能吃了。

申请SSL憑證选择CA很关键!

SSL憑證是由數位憑證管理機構(簡稱CA)簽發的,為了提升SSL憑證的普及率和自身產品市場佔有率,部分CA機構也對外提供免費的SSL證書。當網站申請SSL證書時,通常會要求網站提交身份資料文件(如企業營業執照、組織機構代碼證等),經過CA人工審核通過並支付一定費用後才可頒發。

免費SSL憑證往往通過程序自動匹配申請人或機構資訊和所申請的域名資料,只要匹配一致就能獲得憑證,不需要人工審核。這類憑證只能驗證域名所有權,無法對組織進行驗證,即無法驗證伺服器身份,因此留下了很大的安全漏洞和隱患。駭客只需驗證域名信息就能輕鬆獲得憑證,從而為自己披上看似可信的外衣。而此時的https仍可起到加密傳輸的作用,但信息傳輸的目的卻由真實網站的服務器變成了黑客的“釣魚”服務器,信息加密也就如同皇帝的新衣,黑客抓取用戶敏感信息就變得探囊取物般輕而易舉。

除了黑客“釣魚”的風險外,免費SSL憑證在使用時還有諸多限制。比如:免費憑證只能綁定單個域名、不支持通配符域名等。同樣的,這類“免費的午餐”相關服務也會大打折扣,大多數免費的SSL憑證都由用戶自行安裝,無法提供後期服務和技術支持,在憑證遇到問題時,也無法及時得到解決。另外,某些品牌的免費SSL憑證有效期過短,每三個月就要更新一次,到期後還要自己申請,很多用戶很容易就會忘記續期。

申请SSL憑證选择CA很关键!

在目前免費憑證身份驗證機制還不完善的情況下,出於對用戶、網站自身安全的考量,管理員應避免使用免費SSL憑證,尤其是大型企業或機構網站、涉及用戶隱私及金融交易的電商類平台更不能選擇“免費的午餐”。比如網站安裝了Digicert/Symantec頒發的OV型SSL憑證,當你點擊地址欄中的鎖型圖標時,顯示網站身份經DigiCert認證,說明該網站憑證、身份真實可靠。

總歸來說,免費SSL憑證雖然申請流程簡單,但僅支持加密功能,無法驗證服務器身份,由此引發的潛在威脅較大,並不建議企業機構採用。

在選購付費SSL憑證時,應盡量選擇經過國家認可的權威CA機構。這些機構不僅負責發放和管理數字證書,同時作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。而選擇免費憑證的用戶,常常在對密鑰的保存和後續的維護、更新、賠償等服務中遭遇問題。因此,選擇一個具有技術支持能力、擁有完善服務體系、具備良好市場信譽度和口碑的CA機構就顯得尤為重要。需要強調的是,https網站的整體安全性依然遠高於非https網站,而大型網站一定不要選擇“免費”午餐,用戶在訪問網站時也一定要仔細辨別SSL憑證,這樣才能更有效的保障隱私安全。

About the Author

Leave a Reply