近來���,黑客盜取知名數(shù)字證書供應(yīng)商帳戶進(jìn)而違法頒發(fā)數(shù)字證書事件層出不窮�����,繼廉價(jià)SSL數(shù)字證書供應(yīng)廠商Comodo之后��,另一家來自以色列�,以低價(jià)策略引起國(guó)內(nèi)廣泛關(guān)注的SSL證書品牌StartSSL亦在6月15日被
近來�����,黑客盜取知名數(shù)字證書供應(yīng)商帳戶進(jìn)而違法頒發(fā)數(shù)字證書事件層出不窮�,繼廉價(jià) SSL 數(shù)字證書供應(yīng)廠商 Comodo 之后,另一家來自以色列����,以低價(jià)策略引起國(guó)內(nèi)廣泛關(guān)注的 SSL證書品牌 StartSSL 亦在 6 月 15 日被黑客攻擊��。
Comodo�、StartSSL 相繼遭到黑客攻擊,此舉已經(jīng)嚴(yán)重暴露出其作為可信網(wǎng)站認(rèn)證供應(yīng)商的誠(chéng)信問題�����。據(jù)了解, Comodo 今年已經(jīng)多次遭遇被黑客入侵其代理商系統(tǒng)�����,成功發(fā)放 www.google.com, login.yahoo.com, login.skype.com 這些知名網(wǎng)站的憑證��,并逼迫微軟緊急發(fā)布證書安全漏洞更新�,引起數(shù)字證書行業(yè)嘩然之余,也提醒網(wǎng)絡(luò)業(yè)者必須正視低價(jià)數(shù)字證書供應(yīng)商所帶來的網(wǎng)絡(luò)安全信任危機(jī)�����。
SSL 數(shù)字證書是被用來判定網(wǎng)站為可信狀態(tài)的工具�����。當(dāng) SSL 數(shù)字證書被添加于網(wǎng)站服務(wù)器后����,在安全狀態(tài)欄(Internet Explorer 7 及其他瀏覽器地址欄的一部分)或者在狀態(tài)欄(位于早期版本 Internet Explorer 窗口的底部)中,我們可以看到一個(gè)被激活的黃色小鎖���。這個(gè)小鎖表示您與網(wǎng)站的連接是安全的��。而這類涉及可信度認(rèn)證服務(wù)的 SSL 數(shù)字證書皆必須由證書頒發(fā)機(jī)構(gòu) (CA) 所頒發(fā)(Comodo�、StartSSL 即為提供低價(jià)數(shù)字證書服務(wù)的 CA 之一) ,由 CA 認(rèn)證公司對(duì)證書申請(qǐng)者的身份進(jìn)行驗(yàn)證�����,以確保該網(wǎng)站為真實(shí)并可信賴�。
令人擔(dān)心的是�,若是核實(shí)網(wǎng)站為可信狀態(tài)的 CA 公司遭到攻擊或侵入,其所造成的影響將不言可喻�。如此一來,您還能相信使用這類低價(jià)數(shù)字證書的服務(wù)���,能產(chǎn)生:可信賴網(wǎng)站的經(jīng)營(yíng)成果嗎?
Comodo�、StartSSL 遭攻擊事件��,不僅讓網(wǎng)絡(luò)業(yè)者對(duì)低價(jià) SSL數(shù)字證書品牌的可靠性產(chǎn)生疑慮���,更因低價(jià) SSL 數(shù)字證書的完全自動(dòng)化作業(yè)���,將 CA 公司所肩負(fù)的 CA 保證信息的核實(shí),如公司名稱���、網(wǎng)站名稱(域)或者保證期限等證實(shí)該網(wǎng)站為可信狀態(tài)的信息審查作業(yè)�,將讓黑客有機(jī)可乘��。Comodo���、StartSSL 便犯下了這嚴(yán)重的錯(cuò)誤。
再者����,國(guó)內(nèi)眾多數(shù)字證書服務(wù)廠商大都采取 Comodo 或 StartSSL 這種 SSL 數(shù)字證書提供商的憑證根技術(shù),再整合成自家的專有品牌(即為我們熟悉的 OEM 數(shù)字證書服務(wù))����,以低價(jià)向 Comodo 或 StartSSL 這類廠商采購(gòu)數(shù)字證書,再以多倍的高價(jià)販賣給客戶��,層層剝削��,影響網(wǎng)絡(luò)業(yè)者的經(jīng)營(yíng)權(quán)益���。
作為領(lǐng)導(dǎo)數(shù)字證書技術(shù)的知名品牌之一�����, GlobalSign指出:誠(chéng)信��,是網(wǎng)絡(luò)經(jīng)營(yíng)不可獲缺的基石�����。當(dāng)企業(yè)欲選用 SSL 數(shù)字證書品牌作為可信網(wǎng)站驗(yàn)證服務(wù)時(shí),必須詳細(xì)了解該品牌及公司背景���、以及其所使用的根證書的擁有者是否屬于該品牌�����,才能獲得充分的保障��。
