擴展驗證(EV)SSL證書

SSL SSL SSL

ExtendedValidationSSLCertificates翻譯為擴展驗證型伺服器證書(EV伺服器證書或EVSSL證書),申請該證書需要經過最徹底的身份驗證,確保證書持有組織的真實性。套用該證書的網站,瀏覽器地址欄將呈現綠色,綠色地址欄將循環顯示組織名稱和作為證書頒發機構的VeriSign的名稱,從而最大限度上確保網站的安全性,樹立網站可信形象,不給欺詐釣魚網站以可乘之機。
編輯本段EV伺服器證書的產生EVSSL證書的產生是為了對付日益猖獗的網上欺詐犯罪,意在恢復並增強人們對網上線上交易的信心。EVSSL證書是一種新型的需要對申請單位進行非常嚴格身份驗證的SSL證書。如果您的網站部署了EVSSL證書,則用戶訪問時瀏覽器的地址欄會變成綠色,並在地址欄後面顯示一個安全鎖標誌和輪流顯示此網站的單位名稱和此證書的頒發機構,明確指出此網站的身份已經此證書頒發機構嚴格驗證。目前EVSSL證書加密強度有兩種:最低128位和最高256位(這裡指的是SSL會話時生成加密密鑰的長度,密鑰越長越不容易破解)證書。但即便是128位的加密強度,使用強行攻擊的辦法破譯密碼,也需要10的19次方年。EVSSL證書是新一代標準的SSL證書,意在解決目前各個數字證書頒發機構頒發SSL證書採用的身份驗證標準不統一的問題,同時讓用戶能夠非常容易地區分出現有的SSL證書和新標準的SSL證書,即用戶使用IE7+、Firefox3.0+訪問部署了EVSSL證書的網站時,地址欄會變成綠色,不僅顯示安全鎖,還顯示單位名稱和證書頒發機構的名稱。而訪問現有的其他類型的SSL證書時,則仍然只顯示安全鎖標誌。目前在國內已經有部分網站可以看到綠色地址欄。
誰在制定EVSSL標準?
答:EVSSL標準由CABrowser論壇制定,此論壇由VeriSign公司於2004年5月發起,論壇成員包括主流瀏覽器開發商:微軟、Mozilla、Google、Apple、Opera和KDE,包括全球領先的數字證書頒發機構:VeriSign、GeoTrust、Thawte、RSA等等,同時還有銀行業代表和律師協會等。新證書的指導方針是行業團體CA/BrowserForum經過18個月的討論後正式確立的。
編輯本段EV伺服器證書提升網站的信任度SSL證書是PKI公鑰基礎設施中的最常用的數字證書,是構建安全的電子商務的基石。SSL證書提供了三種安全服務—機密性、完整性和身份驗證,確保用戶能:
(1)安全地與網站伺服器進行通信,所有線上輸入和查閱的信息都不會在傳輸過程中被非法竊取(機密性);
(2)確保機密信息不會被非法篡改(完整性);
(3)確保用戶確實是在訪問一個所要訪問的網站,而不是一個假冒網站(身份驗證)
而第(3)點最能理解為何需要擴展驗證EVSSL證書。對於一個只驗證域名的SSL證書,沒有通過身份驗證的網站,就給了網上釣魚欺詐者一個機會可以用一個相象的域名來欺騙那些沒有防範意識的用戶以為是在與他/她希望從事網上交易的公司進行線上交易,從而騙取用戶的錢財。而對於中國普通老百姓由於不懂英文或無法記住複雜的英文域名,就更容易上當受騙了。但是,如果通過嚴格身份認證的網站在訪問時地址欄顯示綠色,那就簡單多了,普通網民就非常容易識別了,只要記住是否顯示綠色就可以了。
申請擴展驗證EVSSL證書,申請單位必須經過非常嚴格的身份驗證,而此嚴格的身份驗證流程是由CA/Browser論壇制訂的增強型身份驗證標準(還未最終定稿),所有頒發擴展驗證EVSSL證書的證書頒發機構必須嚴格按照此標準來頒發擴展驗證EVSSL證書。除了要驗證域名所有權外,還包括:申請單位授權其員工辦理申請證書手續的授權書、驗證申請單位是在當地政府合法註冊的、營業執照是有效的(已經年檢的)和是有固定辦公場所的等等。
編輯本段EVSSL伺服器證書的特點EVSSL增加第三方嚴格身份審核,為最高別的SSL證書。
激活瀏覽器綠色地址欄,產生安全綠色強化的加密效果。
網站信息進行256位安全加密,可以保證客戶和伺服器之間的通信安全。
編輯本段EV伺服器證書客戶端支持在IE7.0、Chrome全版本、FireFox3.0、Opera9.5、Safari3.2等新一代高安全瀏覽器下,訪問配置了EV伺服器證書的網站時,瀏覽器地址欄會自動呈現綠色,從而清晰地告訴用戶正在訪問的網站是經過嚴格認證的。
反觀國產瀏覽器,目前只有搜狗瀏覽器遵循CA/B論壇規範,引入了對EV伺服器證書的支持。其他瀏覽器均禁止了EV證書綠色地址欄,同時通過白名單方式實現網站認證或為網站添加網站名片。白名單方式是以瀏覽器廠商作為認證主體,對網站身份進行驗證。該認證方式不具備權威性,並且可被DNS攻擊等方式攻破。而通過數字證書的第三方認證方式,不但可以激活國際主流瀏覽器綠色地址欄,還可以由國際權威認證機構對其進行認證,認證結果在全球範圍內受信,同時還會對網站傳輸數據進行加密(SSL)。
只有引入成熟的認證技術和開放性的認證機制,其次再結合自主開發的技術,才能做好“網站認證”這件事。國產瀏覽器在保持快速創新的同時,也應當尊重網站身份認證的基石。在支持自主開發網站身份認證模式的同時,逐漸與國際接軌,支持國際通用的VeriSign等權威第三方身份認證模式,支持的EV伺服器證書的綠色地址欄功能將會是一種必然的趨勢。

相關詞條

熱門詞條

聯絡我們