DV SSL证书 – 域名验证型SSL证书

DV SSL证书是 Domain Validation SSL 的缩写,指只验证网站域名所有权的简易型SSL证书,域名验证型DV SSL证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份。所以,不推荐在电子商务网站部署 DV SSL证书,因为电子商务首先需要的是在线信任,其次才是在线安全。

本页将演示 DV SSL证书是什么样子的,各种浏览器是如何显示 DV SSL证书的,以及预测 DV SSL证书在不久的将来必将被市场淘汰。

请注意: DV SSL证书仅适合于个人网站或非电子商务网站,由于此类只验证域名所有权的低端SSL证书已经被国外各种欺诈网站滥用.

如何识别 DV SSL证书

DV SSL证书是由某CA作为一个市场后来者,为了抢占市场,推出的完全自动的只验证域名所有权的 SSL证书,DV SSL证书由于无需人工干预(无需人工做身份验证)而大大降低了成本,所以价格非常便宜,并且无需等待 3-5 天,10分钟就自助颁发而得到证书。此证书一推出就得到了用户的欢迎。而其他证书颁发机构也看到了DV SSL证书的市场潜力,也纷纷推出了此类证书。这种SSL证书完全失去了原有的SSL证书的数字身份证明作用,仅能提供数据加密作用。

还是来看看 DV SSL证书是什么样的吧,点击安全锁标志,“查看证书”就能此类证书的 “ 详细信息 ” – “ 主题 ” ,就能发现:主题中没有 O 字段 (O 就是 Organization , O 字段用于显示单位名称 ) ,或 O 字段显示不是公司名称,而是网站域名,如下图 1 和图 2 所示:

DV SSL证书主题信息
DV SSL证书主题信息
DV SSL证书
DV SSL证书
DV SSL证书
DV SSL证书

DV SSL证书必将被市场所淘汰

也许你会问:证书主题中不显示 O 字段对加密有影响吗? Good Question! 要回答此问题还得从 SSL证书的诞生说起。 SSL安全协议最初是由美国网景 (Netscape Communication) 公司设计开发的,全称为:安全套接层协议 (Secure Sockets Layer),它指定了在应用程序协议 ( 如 : HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制,它是在传输通信协议 (TCP/IP) 上实现的一种安全协议,采用公开密钥技术,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证等。 SSL加密需要一个由第三方验证服务器身份后签发的SSL证书用于加密需要的公钥。

SSL证书由生俱来有两个功能:一是加密功能,另一个是身份证明功能,即向在线用户证明部署了 SSL 证书的网站的真实身份。其证书主题信息中主要包括如下字段(如下图3所示),我们称之为 标准型 或 机构验证型 SSL证书( Organization Validation SSL,简称:OV SSL):

  1. CN 字段:Common Name ,就是网站的域名;
  2. O 字段:Organization ,此网站的单位名称;
  3. OU 字段:Organization Unit,下属部门名称;也常常用于显示其他证书相关信息,如证书类型,证书产品名称或身份验证类型或验证内容等;
  4. L 字段:Locality,单位所在城市 / 或县区;
  5. S 字段:State/Province,单位所在州或省;
  6. C 字段:Country,单位所在国家,为两位数的国家缩写,如: CN 就是中国;
OV SSL
OV SSL

从“如何识别 DV SSL证书”中,可以看出:DV SSL证书与标准型 SSL证书的不同,DV SSL证书由于并没有验证证书申请单位的真实身份,所以不显示单位名称。

还是回答你的问题:证书主题中不显示 O 字段对加密有影响吗?答案是:不影响!因为SSL证书有两大功能,域名型SSL证书只具有加密功能,并不具有证明自己真实身份的功能。

由于申请此类证书无需人工干预,只验证域名所有权就可以自动颁发证书,所以一些不法网站、欺诈网站等很多与网络犯罪相关的网站会使用此类证书,以企图取得在线用户的信任。这类证书被网络犯罪网站滥用后使得人们对安全锁标志失去了信心,这对于电子商务的健康发展非常不利。为了解决这类只验证域名SSL证书对人们对电子商务的信任危机,就产生了全球统一严格身份验证的EV SSL证书 ,而为了区分域名型SSL证书与EV SSL证书的不同,新版浏览器在访问EV SSL证书时地址栏会变成绿色,意为绿色安全通道,意在增强在线信任。

鉴于此类域名型SSL证书被滥用的危害,但普通网民又不懂如何识别,所以全球领先的信息安全产品提供商Comodo推出的Comodo安全浏览器 ,此浏览器在访问只验证域名SSL证书时,并不是像IE 、火狐等其他浏览器那样仍然显示安全锁标志,而是给用户一个安全警示 ( 如下图 4 所示 ) :与此网站交换信息可能不安全! 该网站的安全(或者 SSL )证书表明其运营方未经过可信的第三方验证其为有效业务。

尽管您和该网站之间的通讯会被加密,但是不能保证该网站身份的有效性和真实性,很多与网络犯罪相关的网站会使用此类证书。 在向任何网站提供敏感信息之前,包括登录名 / 密码、身份证信息、财务信息比如信用卡号码,如果看到此警告,您需要采用另外的方法来验证该业务是否真实可靠,或者考虑终止交易。

域名型SSL证书
域名型SSL证书

如果你点击 “ 仍然继续 ” , 则如下图5 所示 , 浏览器地址栏的 https:// 被打叉,并不再显示安全锁标志,而是显示一个警告符。点击警告符,则显示 “ 此网站身份未得到验证 ” ,同时会显示 “ 与此网站的连接采用 128 位加密技术 ” 。也就是说:域名型SSL证书证书只能起到加密的作用,而不能证明网站的真实身份,不能保证此类网站是否是假冒网站还是正宗网站。

域名型SSL证书
域名型SSL证书

鉴于目前各种恶意网站和钓鱼网站泛滥,相信业界一定会采取一定的技术措施来保障用户的利益,可以预测不久的将来,其他浏览器厂商也会像 Comodo 安全浏览器那样对部署了域名型SSL证书网站会有不同的显示效果处理,以帮助用户谨慎对待已经被欺诈网站滥用的域名型SSL证书。

只验证域名所有权的域名型SSL证书是SSL证书市场恶性竞争的畸形产品,已经远离了当初发明SSL证书时初衷。无论是从市场需求来讲 ( 相信真正的电子商务网站谁也不愿意有欺诈网站的嫌疑 ) ,还是从技术角度来讲 ( 如果所有浏览器都不对域名型SSL证书显示安全锁标志的话 ) ,域名型SSL证书必将被市场淘汰出局!

推荐选购 OV SSL证书 或 EV SSL证书

从SSL证书的诞生史可以看出:标准型SSL证书就是 Organization Validation SSL(OV SSL),DV SSL证书是由于市场恶性竞争而形成的怪胎产品,已经严重伤害了用户对电子商务的在线信任 ( 有安全锁都不可信!) 。

为了解决DV SSL证书被欺诈网站滥用的问题,Comodo 牵头全球各大证书颁发机构和各大主流浏览器厂商成立了一个 CA/浏览器论坛,推出了一个新的SSL证书产品来增强电子商务用户的在线信任和保证在线交易的安全,这就是 Extended Validation SSL Certificate, 简称为:EV SSL证书。EV SSL证书采用全球统一严格验证身份标准来颁发SSL证书,不仅能像其他OV SSL证书一样能高强度加密在线用户的机密交易信息,而且还会非常显著地 ( 浏览器地址栏为绿色 ) 向在线用户表明他们 / 她们确实是正在与一个经过严格身份验证的网站进行在线交易,而不是一个假冒网站。EV SSL证书让浏览器地址栏变成绿色,绿色安全通道,增强在线信任,打造诚信网络,促成更多在线销售!

所以,推荐所有电子商务网站都部署 OV SSL证书或 EV SSL证书,特别推荐EV SSL证书 ,绿色地址栏,让用户更加信任您的网站,从而获得更多在线订单。

让我们来看看 IE7/IE8 浏览器是如何显示 OV SSL证书和 EV SSL证书的吧,如下图 6所示,访问部署了 EV SSL证书的网站时地址栏为绿色;如下图 7 所示,访问部署了已经验证身份的 OV SSL证书的网站时地址栏仍然为白色,但右边有安全锁标志。

选购 OV SSL证书 或 EV SSL证书
选购 OV SSL证书 或 EV SSL证书
选购 OV SSL证书 或 EV SSL证书
选购 OV SSL证书 或 EV SSL证书

X.509标准简介

发表评论

Crypto logo

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Phasellus cursus rutrum est nec suscipit. Ut et ultrices nisi. Vivamus id nisl ligula. Nulla sed iaculis ipsum.

Contact

Company Name

Address