近來,黑客盜取知名數(shù)字證書供應(yīng)商帳戶進(jìn)而違法頒發(fā)數(shù)字證書事件層出不窮,繼廉價(jià) SSL 數(shù)字證書供應(yīng)廠商 Comodo 之后,另一家來自以色列,以低價(jià)策略引起國(guó)內(nèi)廣泛關(guān)注的 SSL證書品牌 StartSSL 亦在 6 月 15 日被黑客攻擊。
Comodo、StartSSL 相繼遭到黑客攻擊,此舉已經(jīng)嚴(yán)重暴露出其作為可信網(wǎng)站認(rèn)證供應(yīng)商的誠(chéng)信問題。據(jù)了解, Comodo 今年已經(jīng)多次遭遇被黑客入侵其代理商系統(tǒng),成功發(fā)放 www.google.com, login.yahoo.com, login.skype.com 這些知名網(wǎng)站的憑證,并逼迫微軟緊急發(fā)布證書安全漏洞更新,引起數(shù)字證書行業(yè)嘩然之余,也提醒網(wǎng)絡(luò)業(yè)者必須正視低價(jià)數(shù)字證書供應(yīng)商所帶來的網(wǎng)絡(luò)安全信任危機(jī)。
SSL 數(shù)字證書是被用來判定網(wǎng)站為可信狀態(tài)的工具。當(dāng) SSL 數(shù)字證書被添加于網(wǎng)站服務(wù)器后,在安全狀態(tài)欄(Internet Explorer 7 及其他瀏覽器地址欄的一部分)或者在狀態(tài)欄(位于早期版本 Internet Explorer 窗口的底部)中,我們可以看到一個(gè)被激活的黃色小鎖。這個(gè)小鎖表示您與網(wǎng)站的連接是安全的。而這類涉及可信度認(rèn)證服務(wù)的 SSL 數(shù)字證書皆必須由證書頒發(fā)機(jī)構(gòu) (CA) 所頒發(fā)(Comodo、StartSSL 即為提供低價(jià)數(shù)字證書服務(wù)的 CA 之一) ,由 CA 認(rèn)證公司對(duì)證書申請(qǐng)者的身份進(jìn)行驗(yàn)證,以確保該網(wǎng)站為真實(shí)并可信賴。
令人擔(dān)心的是,若是核實(shí)網(wǎng)站為可信狀態(tài)的 CA 公司遭到攻擊或侵入,其所造成的影響將不言可喻。如此一來,您還能相信使用這類低價(jià)數(shù)字證書的服務(wù),能產(chǎn)生:可信賴網(wǎng)站的經(jīng)營(yíng)成果嗎?
Comodo、StartSSL 遭攻擊事件,不僅讓網(wǎng)絡(luò)業(yè)者對(duì)低價(jià) SSL數(shù)字證書品牌的可靠性產(chǎn)生疑慮,更因低價(jià) SSL 數(shù)字證書的完全自動(dòng)化作業(yè),將 CA 公司所肩負(fù)的 CA 保證信息的核實(shí),如公司名稱、網(wǎng)站名稱(域)或者保證期限等證實(shí)該網(wǎng)站為可信狀態(tài)的信息審查作業(yè),將讓黑客有機(jī)可乘。Comodo、StartSSL 便犯下了這嚴(yán)重的錯(cuò)誤。
再者,國(guó)內(nèi)眾多數(shù)字證書服務(wù)廠商大都采取 Comodo 或 StartSSL 這種 SSL 數(shù)字證書提供商的憑證根技術(shù),再整合成自家的專有品牌(即為我們熟悉的 OEM 數(shù)字證書服務(wù)),以低價(jià)向 Comodo 或 StartSSL 這類廠商采購(gòu)數(shù)字證書,再以多倍的高價(jià)販賣給客戶,層層剝削,影響網(wǎng)絡(luò)業(yè)者的經(jīng)營(yíng)權(quán)益。
作為領(lǐng)導(dǎo)數(shù)字證書技術(shù)的知名品牌之一, GlobalSign指出:誠(chéng)信,是網(wǎng)絡(luò)經(jīng)營(yíng)不可獲缺的基石。當(dāng)企業(yè)欲選用 SSL 數(shù)字證書品牌作為可信網(wǎng)站驗(yàn)證服務(wù)時(shí),必須詳細(xì)了解該品牌及公司背景、以及其所使用的根證書的擁有者是否屬于該品牌,才能獲得充分的保障。
分享到微信 ×
打開微信,點(diǎn)擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。