SSL 协议和 SSL 证书已经被广泛用于几百万个银行网站和电子商务网站来保护在线消费者的交易安全。 SSL 证书由数字证书颁发机构 (CA) 颁发,消费者已经把浏览器中的安全锁作为一种安全和信任的标志。
信任 (Trust) 对于电子商务来讲非常重要,是把网站访问者变成购买者的最关键因素。目前互联网的在线用户数与电子商务交易的用户数的比例非常非常低的主要原因是用户 对在线交易缺乏信任,担心会有欺诈,因为用户与网上所声称的商家并没有见面,而消费者在街上购物时看到了实实在在的商店就能放心地购物。如何让消费者也能 在线“看到”实实在在的商家呢?如何方便地让在线消费者也相信此网站的实体确实是一个实实在在的商家呢?
著名调查公司 Gartner 指出:在过去的一年来,有将近两百万美国人成为网上欺诈的受害者,并估计美国有 5700 万互联网用户都收到过假冒知名网站或银行的要求用户更新个人信息的欺诈电子邮件,而其中有 180 万用户因此而泄露了机密的个人信息。
而现在,新标准的 EV SSL 证书的推出,就是给用户一个非常直接的方式 ( 地址栏为绿色 ) 来表明他 / 她正在访问的网站的实体确实是一个实实在在的商家,其真实身份已经通过权威的第三方严格身份验证,用户可以对其经营实体的身份真实性放心。而商家赢得了用 户的信任就赢得了生意。
* 信任才有商机
在过去的 10 年里,各种消费者杂志、商业团体和信息安全服务提供商都在不断地教育人们一些在线安全的常识,所以,现在的许多消费者都知道了浏览器下面的安全锁的重要 性,用户要在线购买您的产品就要让他 / 她确实是安全的,是不会泄露其个人机密信息的,而部署了 SSL 证书就能让用户可以看到您是非常重视其安全的,并且确实他 / 她的机密信息是加密传输的。
但是,由于只验证域名的 SSL 证书的推出,使得用户无法直观地识别没有验证身份的网站和已经验证身份的网站有什么不同。现在, EV SSL 证书的推出,就突出了没有验证身份的网站和已经验证身份的网站的不同,通过全球统一标准的严格身份验证的网站就会显示为绿色,让您的客户相信他 / 她正在访问的网站确实是所声称的单位,其真实身份是通过权威第三方验证的。如下图所示:
浏览器的绿色安全通道,让您的客户信任您,信任才有商机!
* 不严格的身份验证不能带来信任
建立在线信任的基础是身份验证,一个用户可以通过查看网站所部署的 SSL 证书来验证其真实身份。但是,由于只验证域名的 SSL 证书 (Low Assurance SSL) 的推出,使得只验证域名所有权的弱身份验证 SSL 证书与已经人工严格验证身份的 SSL 证书 ((High Assurance SSL)) 表面看起来没有什么不同,都同样显示一个安全锁标志,只有查看证书内容才会发现不同,但普通用户一般是不会查看证书内容。
这带来什么后果?这让假冒网站钻了空子,由于不验证真实身份使得一个假冒知名机构的网站也一样有 SSL 证书,一样显示一个安全锁标志。其最终的恶果是使人们失去了对 SSL 证书的信任,同时也对电子商务的安全失去了信心。
* 数字证书颁发机构 (CA) 在电子商务中扮演的角色
数字证书颁发机构 (CA) 在互联网安全生态链中扮演一个非常重要的角色,因为 CA 充当可信任的第三方在验证申请者的真实身份后才颁发 SSL 证书。 CA 需要有非常可靠的公钥基础设施 (PKI) 、身份验证专业人才和流程、客户支持、安全评估、证书数据库管理等等,这些系统还要支持不同的身份验证应用需要 ( 如服务器验证、客户端验证和软件代码验证等等 ) 。
可以说, CA 是保护最终用户信息安全的第一道关,因为 CA 在颁发证书之前对申请证书的网站进行了身份验证,而如果 CA 没有进行严格的身份验证就会给互联网用户带来安全威胁,主要包括:
(1) 如果没有验证申请单位的真实身份或没有检查申请单位是否有权使用此域名,则恶意假冒者有可能使用 SSL 证书来欺骗用户此网站就是 SSL 证书中所指的单位的真实网站。
(2) 如果不验证申请单位是否存在 ( 不验证营业执照 ) ,则网站上所声称的公司名称可能就是一个实际上不存在的公司 ( 即:没有合法注册的公司 ) ;
(3) 如果不验证申请人的身份和验证是否授权代表某机构申请证书,则恶意假冒者极有可能使用一个被假冒方的营业执照来申请证书,以达到假冒和欺诈的目的。
目前,证书颁发机构一般在只验证域名所有权的 SSL 证书 ( 超快 SSL) 中不显示单位名称,以免被非法利用,而为了防止第 (3) 种情况,一般都要求除了提供营业执照外,还需要提供第三方证明文件和电话确认。
但由于目前的各个 CA 的身份验证过程都是不一样的,严格程度也不一样,所以,全球领先的各大数字证书颁发机构才发起制定了一个全球统一的、更加严格的身份验证标准来颁发 EV SSL 证书,从而为最终用户的信息安全严格把好第一道关。并联合各大浏览器开发商给予 EV SSL 证书不同于其他 SSL 证书的显示方式 ( 地址栏变绿 ) ,让最终用户可以非常直观地知道正在访问的网站是通过权威的数字证书颁发机构严格身份验证的真实存在的经营实体,从而放心地从事在线交易。
根据09年最新的Netcraft结果,全球领先网站共部署13,000余个EV SSL 证书,其中,超过10,000个是由威瑞信颁发的。经验证,EV SSL可以有效降低网上订单的放弃率,提高成交率。通过使用EV SSL,交易量提高可达27%,网上收入提高50%。另外,电子商务网站Virtual Sheet Music在采用EV SSL后,销售量提高了13%,效果十分显著。更为可喜的是,目前VeriSign已与天威诚信数字认证中心(iTrusChina)携手推进国际上最为先进的绿色地址栏EVSSL证书在国内的发展,共同抵御欺诈钓鱼网站对网民的直接损害。
转载请注明:IT运维空间 » 安全防护 » EV SSL 的角色是什么?
发表评论