网站部署SSL证书实现HTTPS加密,
大家应该都知道吧?
在选择SSL证书的你,
是否有过这样的纠结?
使用免费证书还是购买商业证书呢?
同样都是SSL证书,
免费证书和商业证书区别在哪?
应该如何选择呢?
什么是免费证书?真的安全吗?
免费证书即为免费型DV SSL证书,最多保护一个完整的域名,不支持通配符。免费SSL证书只验证域名信息。仅适用于个人博客、个人用户体验以及应用测试等简单的HTTPS加密需求。
令人“谈虎色变”的免费SSL证书
免费证书真的安全吗?提到免费证书,最具代表性的当属Let's Encrypt ,然而近年来,由于Let's Encrypt证书免费的性质和被多数网络浏览器识别的高几率,使得它成为设置钓鱼网站的骗子们的最佳选择。另外,证书有效期仅为90天的Let's Encrypt证书不断为用户带来部署后的次生安全风险:
☞ 2017年1月1日到3月31日期间,Netcraft拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截,而不是拦截特定的子目录。在被完全拦截的网站中,61%使用了Let's Encrypt颁发的证书。
☞ 2020年3月,由于域名验证和证书签发软件中的一个错误,Let's Encrypt吊销近300万张证书。由于事发突然,Let’s Encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,此举意味着数百万依赖这些证书来保护敏感数据流的网站和机器身份可能会被识别为不安全或不可用,从而造成直接的经济损失。
☞ 2021年1月开始,由于Let 's Encrypt服务使用的一个由IdenTrust提供的根证书将于2021年9月1日到期,导致其证书的兼容性将会降低,网站所有者和用户都会受到影响。Let's Encrypt的根证书即将到期意味着将有三分之一的Android设备将被阻止访问受Let’s Encrypt SSL证书保护的网站。
免费SSL证书由于在审核过程中不需要人工,这种不严谨的审核方式便让黑客有了可乘之机,只需让申请信息与域名信息一致就能轻松获得证书,通过免费证书为自己披上看似可信的外衣,骗取用户的信任,极易造成安全事件频发。出于对用户、网站自身安全的考量,不建议管理员使用免费SSL证书。
更安全的OV SSL和EV SSL商业证书
商业证书按照安全等级分为三类:付费域名型DV SSL证书、企业型OV SSL证书和增强型EV SSL证书。
CA(证书的签发机构)在签发OV SSL证书和EV SSL证书时,对申请者都要求提供可信***明以验证组织身份(如企业营业执照、组织机构代码证等),经过严格的审核后才可颁发。
■ 付费域名型DV SSL证书仅起到对网站数据加密的作用,无法向用户证明网站的真实身份,仅适合个人站点或博客类网站。
■ 企业型OV SSL证书不仅能起到对网站数据加密的作用,并且能向用户证明网站的真实身份,适合各类中小型企业网站。
■ 增强型EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全等级最高的SSL证书,具有完整身份验证机制和权威的第三方担保验证,除了实现更高安全的HTTPS传输加密,同时可以标示网站身份,彰显品牌形象,提高用户对网站的信任度。适用于金融、电子商务、政府机关等涉及到敏感数据与隐私数据的中大型企业网站。
2020年9月1日起,在三大浏览器(Apple Safari、 Google Chrome、Mozilla Firefox)的推动下,目前SSL证书的最长有效期正式变更为一年,商业证书(特别是OV 型和 EV 型)在后期专业维护的基础优势上,提供了全生命周期自动化服务、本土化OCSP服务以及完善的技术支撑伴随服务,以应对SSL证书有效期持续缩短的行业趋势。
本文作者:TrustAsia亚洲诚信
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/152857.html