SSL協議是 NetScape 公司於 1994 年提出的一個關注互聯網信息安全的信息加密傳輸協議,其目的是爲客戶端(瀏覽器) 到服務器端之間的信息傳輸構建一個加密通道,此協議是與操作系統和 Web 服務器無關。
同時, NetScape 在 SSL協議中採用了主流的加密算法(如: DES 、AES 等) 和採用了通用的 PKI 加密技術。目前, SSL已經發展到 V3.0 版本,已經成爲一個國際標準,並得到了所有瀏覽器和服務器軟件的支持。
* 部署了SSL證書能說明什麼?
起初, SSL證書的主要角色就是爲網站的機密數據提供加密傳輸功能,從而確保機密信息的機密性、完整性和不可否認性。但是,對於電子商務來講,用戶在向網站提交 機密信息之前如果不能信任此網站,那再高強度的加密也是沒有用的,因爲加密只是一種技術保護措施。
所以, SSL證書標準也在不斷完善,使得 SSL證書不僅起到加密作用,而且成爲了網站的電子身份證或稱“數字營業執照”,因爲 SSL證書中將包含經過證書頒發機構驗證的單位名稱和所在地區等信息,這樣,就大大方便了在線用戶能實時查驗此網站是否是用一個現實世界的實體所擁有和是 否就是網站上所聲稱的單位,從而讓用戶放心地從事在線交易。
* 不嚴格的身份驗證就頒發SSL證書給在線交易帶來了信任危機
數字證書頒發機構在維護在線身份的真實性上起到關鍵的作用,因爲其頒發的證書就代表申請單位在網絡世界的數字身份,數字證書頒發機構一定要嚴格驗證申請單位的真實身份,並把通過其驗證的信息包含在數字證書中。
但不幸的是,由於後來的數字證書頒發機構爲了佔領市場或爲了降低成本,就推出了只驗證域名所有權的 SSL證書,而不要求提供營業執照並驗證,這種 SSL證書只能起到加密作用,而不能起到最關鍵的真實身份認證的作用。
而更糟糕的是:這種 SSL證書在瀏覽器中同SSL證書一樣顯示一樣的安全鎖標誌,只要仔細查看證書主題才能發現:不顯示單位名稱(只顯示域名)。但一般用戶是不會查驗證書詳細信息的,只是在瀏覽器中看到有安全鎖就以爲安全了。
如果兩個網站:( www.ABCcompany.com)和 (www.ABC-company.com) 都申請了 SSL 證書,如何判斷哪個網站確實是 ABC company 的網站呢?這就是需要第三方的驗證資料,這體現在 SSL 證書上,需要仔細查看證書的主題信息,因爲都會顯示一個“安全鎖”標誌,因爲假冒網站是非常容易獲得只驗證域名所有權的 SSL 證書的,但這就給在線欺詐分子一個可乘之機,因爲一般網上消費者根本就不能識別此 SSL 證書是否已經驗證真實身份。
* EV SSL 的推出就是爲了解決SSL證書的信任危機
正是由於以上 SSL證書中存在的問題,就誕生了 EV SSL 證書。其中最爲著名的便是VeriSign EVSSL證書。
當網站部署了 EV SSL 證書後,讓用戶使用 IE7 或其他新版瀏覽器訪問此網站時,其地址欄是綠色的,而地址欄右邊的安全狀態欄會循環顯示此網站所屬的單位名稱和頒發此證書的證書頒發機構,如下圖所示,綠 色表示此網站的身份是經過嚴格的身份驗證的,而其他 SSL 證書則仍然顯示一般的白色:
SSL 證書在網站信息安全上是至關重要的,它保護了信息的機密性、完整性和身份認證。而電子商務不僅需要加密,更重要的是需要增強在線消費者信心,讓消費者相信 電子商務網站的真實身份,所以嚴格身份驗證的 SSL 證書對於電子商務來講是至關重要的。
相信 EV SSL 證書的推出,一定會爲電子商務提供更好的安全保證和身份保證。這樣,電子商務才能繼續快速而健康地發展,爲人們提供安全可信的在線購物和其他在線服務。