快捷导航
3 9114

SSL证书保护网上个人隐私

Winnie 于 2014-10-10 14:41 发表 [复制链接]
     中央电视台“3·15”晚会的重要话题之一是保护人们网上隐私的安全。这一话题非常引人关注,它提醒人们,在日常上网的过程中,尽量注意不要让个人隐私在网上暴露;同时,也对ICP或电子商务网站,如网上银行、网上证券、网上购物等网站提出了新的要求:网站能否采取有效的技术措施,一方面证明自己的网站是真实而非假冒的,另一方面保护用户信息传输的安全。  - 本报特约撰稿 王高华
  什么是SSL证书?
  SSL证书有成熟的国际标准,是目前证明网站的真实性、保护用户隐私信息安全的唯一有效的技术手段。
  网上流行的名言是:“在网上,没有人知道你是一只狗”。这一语道出了互联网的匿名特点。但这对于网上购物和电子商务来讲是危险的,因为您不能也不应该相信所访问的网站就是其所称的某某公司(某某品牌)、或是现实世界中的某某公司(某某品牌)。同时,互联网所使用的 IP 技术是明文传输信息,这样,如果您在网站上提交的所有机密信息不采用加密措施的话,其他人很可能能看到,因为从您的电脑到网站服务器要经过许多路径,许多人能接触到这些路径,有可能非法截获甚至篡改您的机密信息,比如银行卡信息等。
  实践证明,网站只有部署了 SSL 证书才能保证网站的真实性、保证浏览网站的个人的隐私安全,这是目前已经被实践证明的、唯一的非常成熟的技术解决方案。
  SSL 证书是遵守 SSL 安全套接层协议的服务器数字证书,由浏览器中“受信任的根证书颁发机构”在验证服务器身份后颁发,具有对网站进行身份验证和对浏览者的信息进行加密传输的双重功能。
  SSL 安全协议最初是由美国网景(NetScape)公司设计开发的,全称为: 安全套接层协议 (Secure Sockets Layer) , 它指定了在应用程序协议 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制,它是在传输通信协议 (TCP/IP) 上实现的一种安全协议,采用公开密钥技术,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。由于此协议很好地解决了互联网明文传输的不安全问题,很快得到了业界的支持,并已经成为国际标准。
  SSL证书从诞生到现在已经有15年的历史。1994年 美国RSA公司设立全球第一个CA(数字证书颁发机构)。1996年 1月,美国VeriSign 公司和南非的Thawte公司相继设立了商业 CA,从此在欧美市场正式开始了商业部署。1999年底,VeriSign以5.76亿美元收购Thawte公司;2001年年初,GeoTrust公司成立,2006年5月,GeoTrust公司被VeriSign 以1.25亿美元收购,VeriSign从2000年通过代理商进入中国市场,为银行、证券等机构的网站颁发SSL证书,GeoTrust和Thawte分别通过代理商于2004年和2006年进入中国市场。目前,国内唯一一家支持浏览器的中国品牌的SSL证书颁发机构是WoSign(沃通)公司,于2006年10月推出了系列SSL证书产品。
  由于SSL证书能高效地加密网上的信息,并能对网站的身份进行验证,所以,自推出以来就在欧美地区获得了大量部署。再加上,欧美各国有相应的个人隐私保护法律法规,因此,几乎100%的美国政府网站、电子商务网站等,但凡需要用户登录的地方,都部署了 SSL证书。
  反观我国,SSL证书的应用情况却糟糕得多,我国各种电子政务网站和电子商务网站,几乎 100% 都没有部署SSL证书,也就是说,网站根本没有采取有效的技术手段来加密用户机密信息,如个人手机号码、家庭地址等,其中重要的原因之一是中国相关法律的严重缺失。因此,希望中国的有关部门能尽快立法来保护广大网民的网络隐私权。
  特别值得关注的是:国内许多在美国上市的公司的网站和系统也没有部署 SSL 证书,这已经触犯了美国有关法律,可能随时会遭到检控,希望这些公司的CIO们能尽快部署 SSL 证书,以免因小小失误而影响了中国公司的美好发展前程。
  如何确认网站部署了SSL证书
  浏览器上显示安全锁标志,表明网站部署了SSL证书,并表明信息从终端到网站是被加密的。
  部署了SSL证书的网站正常情况下会自动显示安全锁标志。以 IE 浏览器为例,如图1 所示,IE 6 版本浏览器的安全锁标志在右下角为, IE 7 版本浏览器的安全锁标志是显示在地址栏的右边。鼠标放在安全锁上面会显示目前采用的加密强度。
  点击安全锁标志,再点击“查看证书”就会显示证书主要信息,如证书目的、证书颁发者、证书颁发对象、证书有效起始日期等信息。再点击“详细信息”就会显示此证书的详细信息,如证书颁发者、证书主题、密钥用法、吊销列表CRL分发点、证书序列号等。
  但有些部署了 SSL 证书的网站会有不安全因素警告:“本页不但包含安全的内容,也包含不安全的内容,是否显示不安全的内容?”表明此页面中含有指向其他没有部署 SSL 证书的页面,为了安全起见,建议选“否”,如果选择“是”,则浏览器上不会显示安全锁标志。
  什么机构颁发SSL证书,对证书的可靠性来说是至关重要的,那么,如何能找到哪些机构是受信任的根证书颁发机构呢?对于IE浏览器,您可以点击浏览器的“工具”—“Internet选项”—“内容”—“证书”,就能看到“受信任的根证书颁发机构”,如图2所示,表明IE浏览器能正常识别出这些证书颁发机构颁发的数字证书。
  浏览器需经过以下5个方面的检查后,才会在页面显示安全锁标志,正常显示部署了SSL证书的加密页面。
  第一,检查SSL 证书是否是由浏览器中“受信任的根证书颁发机构”颁发?如果不是,则浏览器会有安全警告,为 IE7 浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站。”IE6浏览器会提示 “该安全证书由您没有选定信任的公司颁发”。
  第二,检查SSL证书中的证书吊销列表,检查证书是否被证书颁发机构吊销?如果已经被吊销,则会显示警告信息:“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
  第三,检查此SSL证书是否过期?如果证书已经过了有效期,则会显示警告信息:“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
  第四,检查部署此SSL证书的网站的域名是否与证书中的域名一致?如果不一致,则浏览器也会显示警告信息:“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”
  第五,IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单?如果是,则会显示:“IE已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页,并且不要继续浏览该网站。”
  检查证书类型确认网站真实性
  绝对不能认为:看到安全锁标志就认为此网站可信,这仅能保证机密信息的传输是加密的。要判断网站是否真的是真实的,还要检查 SSL 证书的类型。
  很多人会问,是否网页上有了安全锁标记就证明网站是可靠的?如何才能鉴别一个网站是真实而不是假冒的?
  一个简单的方法是,如果您能使用 “https://” 而不是常用的“”来访问某个网站,就表示此网站是部署了 SSL 证书。https 就是安全的 http 连接,s就是secure(安全)。如果您正在浏览的页面的浏览器地址栏的网址前面是 “https://”,就表明您在此网站上输入的任何信息都是从你的电脑上自动加密传输到网站服务器的,这样,才能保证您在网站上提交的信息不会被非法截获或非法篡改。
  一般来讲,如果此网站部署了 SSL 证书,则在需要加密的页面会自动从 变为 https://。如果没有变,用户也可以尝试直接手动在浏览器地址栏的 “http” 后面加上一个“ s ”后回车,如果能正常访问并出现安全锁,则表明此网站实际上是部署了 SSL 证书,只是此页面没有做 “https://” 链接;如果不能访问,则表明此网站没有部署SSL证书。
  但是,绝对不能认为:看到安全锁标志就认为此网站可信了,因为,这仅能证明用户的个人信息是经过加密传输的。但对于电子商务网站来讲,经过权威第三方验证了网站的真实身份,比加密信息本身更重要,因为一个不可信的网站(或欺诈网站)也可能有 https://安全锁标志,主要原因是市场上有不验证网站实体身份,而只验证域名所有权的SSL证书。要想判断此网站是否真的是网站上所声称的现实世界的某个公司,还要看此SSL证书是什么类型的。
  目前市场上支持各种浏览器的SSL证书主要有4种:一种是自适应加密强度的普通 SSL证书,业界称为“超真SSL证书”,第二种是支持强制 128 位加密强度的增强型 SSL 证书,业界称为“SGC超真SSL证书”; 两者的不同之处在于加密强度不同—“自适应加密强度”是根据浏览器支持多少位的加密长度就按多少位加密 (如:40 位、56 位、128 位、 256位等) ,而强制 128 位加密强度是指无论什么版本浏览器都可以强制按照 128 位加密。第三种是简易版(入门级)的SSL证书,只进行最简单的域名所有权验证,业界称为“超快SSL证书”,是为了降低成本,满足仅仅有加密需求的小型网站的需要,此证书也是自适应加密强度。第四种是新推出的 EV SSL证书,是全球统一严格身份验证标准的 SSL 证书。
  只有具备EV SSL证书的网站才能表明是现实世界的某个公司,表明该网站是真实的。其他SSL 证书由于全球验证标准的不统一而使得欺诈网站也有可能申请到SSL证书,因此虽然有安全锁标志,也不能证明网站就是真实的。 因此,这四种证书,按可信程度排列,依次为: EV SSL 证书、 SGC 超真 SSL 证书、超真 SSL 证书,最后才是超快 SSL 证书。由于超快 SSL 证书没有验证真实身份,仅验证域名所有权,证书主题中不显示公司名称,所以,要特别留意部署了此类证书的网站是否是您认为的现实世界的公司。

https://buy.wosign.com/
人生短短几十年,想笑就笑,想哭就哭,不要给自己留下什么遗憾。
举报 使用道具
| 回复

共 3 个关于SSL证书保护网上个人隐私的回复 最后回复于 2014-10-16 10:01

Jacky6100 中级会员 发表于 2014-10-11 09:26:52 | 显示全部楼层
可恨的是现在任何网站都需要先注册信息后登陆,而大多网站都没有部署SSL证书
信息很容易泄露
都不敢随便乱注册了
现在有SSL证书,再也不用担心私人信息被泄露啦
举报 使用道具
Kevin 注册会员 发表于 2014-10-13 09:30:09 | 显示全部楼层
使用沃通SSL证书再也不用担心信息泄露啦
举报 使用道具
cs8@love 中级会员 发表于 2014-10-16 10:01:21 | 显示全部楼层
有苹果APP的需要用https的欢迎申请沃通证书buy.wosign.com
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表