DV SSL证书是 Domain Validation SSL 的缩写,指只验证网站域名所有权的简易型SSL证书,域名验证型DV SSL证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份。所以,不推荐在电子商务网站部署 DV SSL证书,因为电子商务首先需要的是在线信任,其次才是在线安全。
本页将演示 DV SSL证书是什么样子的,各种浏览器是如何显示 DV SSL证书的,以及预测 DV SSL证书在不久的将来必将被市场淘汰。
请注意: DV SSL证书仅适合于个人网站或非电子商务网站,由于此类只验证域名所有权的低端SSL证书已经被国外各种欺诈网站滥用.
如何识别 DV SSL证书
DV SSL证书是由某CA作为一个市场后来者,为了抢占市场,推出的完全自动的只验证域名所有权的 SSL证书,DV SSL证书由于无需人工干预(无需人工做身份验证)而大大降低了成本,所以价格非常便宜,并且无需等待 3-5 天,10分钟就自助颁发而得到证书。此证书一推出就得到了用户的欢迎。而其他证书颁发机构也看到了DV SSL证书的市场潜力,也纷纷推出了此类证书。这种SSL证书完全失去了原有的SSL证书的数字身份证明作用,仅能提供数据加密作用。
还是来看看 DV SSL证书是什么样的吧,点击安全锁标志,“查看证书”就能此类证书的 “ 详细信息 ” – “ 主题 ” ,就能发现:主题中没有 O 字段 (O 就是 Organization , O 字段用于显示单位名称 ) ,或 O 字段显示不是公司名称,而是网站域名,如下图 1 和图 2 所示:
DV SSL证书必将被市场所淘汰
也许你会问:证书主题中不显示 O 字段对加密有影响吗? Good Question! 要回答此问题还得从 SSL证书的诞生说起。 SSL安全协议最初是由美国网景 (Netscape Communication) 公司设计开发的,全称为:安全套接层协议 (Secure Sockets Layer),它指定了在应用程序协议 ( 如 : HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制,它是在传输通信协议 (TCP/IP) 上实现的一种安全协议,采用公开密钥技术,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证等。 SSL加密需要一个由第三方验证服务器身份后签发的SSL证书用于加密需要的公钥。
SSL证书由生俱来有两个功能:一是加密功能,另一个是身份证明功能,即向在线用户证明部署了 SSL 证书的网站的真实身份。其证书主题信息中主要包括如下字段(如下图3所示),我们称之为 标准型 或 机构验证型 SSL证书( Organization Validation SSL,简称:OV SSL):
- CN 字段:Common Name ,就是网站的域名;
- O 字段:Organization ,此网站的单位名称;
- OU 字段:Organization Unit,下属部门名称;也常常用于显示其他证书相关信息,如证书类型,证书产品名称或身份验证类型或验证内容等;
- L 字段:Locality,单位所在城市 / 或县区;
- S 字段:State/Province,单位所在州或省;
- C 字段:Country,单位所在国家,为两位数的国家缩写,如: CN 就是中国;
从“如何识别 DV SSL证书”中,可以看出:DV SSL证书与标准型 SSL证书的不同,DV SSL证书由于并没有验证证书申请单位的真实身份,所以不显示单位名称。
还是回答你的问题:证书主题中不显示 O 字段对加密有影响吗?答案是:不影响!因为SSL证书有两大功能,域名型SSL证书只具有加密功能,并不具有证明自己真实身份的功能。
由于申请此类证书无需人工干预,只验证域名所有权就可以自动颁发证书,所以一些不法网站、欺诈网站等很多与网络犯罪相关的网站会使用此类证书,以企图取得在线用户的信任。这类证书被网络犯罪网站滥用后使得人们对安全锁标志失去了信心,这对于电子商务的健康发展非常不利。为了解决这类只验证域名SSL证书对人们对电子商务的信任危机,就产生了全球统一严格身份验证的EV SSL证书 ,而为了区分域名型SSL证书与EV SSL证书的不同,新版浏览器在访问EV SSL证书时地址栏会变成绿色,意为绿色安全通道,意在增强在线信任。
鉴于此类域名型SSL证书被滥用的危害,但普通网民又不懂如何识别,所以全球领先的信息安全产品提供商Comodo推出的Comodo安全浏览器 ,此浏览器在访问只验证域名SSL证书时,并不是像IE 、火狐等其他浏览器那样仍然显示安全锁标志,而是给用户一个安全警示 ( 如下图 4 所示 ) :与此网站交换信息可能不安全! 该网站的安全(或者 SSL )证书表明其运营方未经过可信的第三方验证其为有效业务。
尽管您和该网站之间的通讯会被加密,但是不能保证该网站身份的有效性和真实性,很多与网络犯罪相关的网站会使用此类证书。 在向任何网站提供敏感信息之前,包括登录名 / 密码、身份证信息、财务信息比如信用卡号码,如果看到此警告,您需要采用另外的方法来验证该业务是否真实可靠,或者考虑终止交易。
如果你点击 “ 仍然继续 ” , 则如下图5 所示 , 浏览器地址栏的 https:// 被打叉,并不再显示安全锁标志,而是显示一个警告符。点击警告符,则显示 “ 此网站身份未得到验证 ” ,同时会显示 “ 与此网站的连接采用 128 位加密技术 ” 。也就是说:域名型SSL证书证书只能起到加密的作用,而不能证明网站的真实身份,不能保证此类网站是否是假冒网站还是正宗网站。
鉴于目前各种恶意网站和钓鱼网站泛滥,相信业界一定会采取一定的技术措施来保障用户的利益,可以预测不久的将来,其他浏览器厂商也会像 Comodo 安全浏览器那样对部署了域名型SSL证书网站会有不同的显示效果处理,以帮助用户谨慎对待已经被欺诈网站滥用的域名型SSL证书。
只验证域名所有权的域名型SSL证书是SSL证书市场恶性竞争的畸形产品,已经远离了当初发明SSL证书时初衷。无论是从市场需求来讲 ( 相信真正的电子商务网站谁也不愿意有欺诈网站的嫌疑 ) ,还是从技术角度来讲 ( 如果所有浏览器都不对域名型SSL证书显示安全锁标志的话 ) ,域名型SSL证书必将被市场淘汰出局!
推荐选购 OV SSL证书 或 EV SSL证书
从SSL证书的诞生史可以看出:标准型SSL证书就是 Organization Validation SSL(OV SSL),DV SSL证书是由于市场恶性竞争而形成的怪胎产品,已经严重伤害了用户对电子商务的在线信任 ( 有安全锁都不可信!) 。
为了解决DV SSL证书被欺诈网站滥用的问题,Comodo 牵头全球各大证书颁发机构和各大主流浏览器厂商成立了一个 CA/浏览器论坛,推出了一个新的SSL证书产品来增强电子商务用户的在线信任和保证在线交易的安全,这就是 Extended Validation SSL Certificate, 简称为:EV SSL证书。EV SSL证书采用全球统一严格验证身份标准来颁发SSL证书,不仅能像其他OV SSL证书一样能高强度加密在线用户的机密交易信息,而且还会非常显著地 ( 浏览器地址栏为绿色 ) 向在线用户表明他们 / 她们确实是正在与一个经过严格身份验证的网站进行在线交易,而不是一个假冒网站。EV SSL证书让浏览器地址栏变成绿色,绿色安全通道,增强在线信任,打造诚信网络,促成更多在线销售!
所以,推荐所有电子商务网站都部署 OV SSL证书或 EV SSL证书,特别推荐EV SSL证书 ,绿色地址栏,让用户更加信任您的网站,从而获得更多在线订单。
让我们来看看 IE7/IE8 浏览器是如何显示 OV SSL证书和 EV SSL证书的吧,如下图 6所示,访问部署了 EV SSL证书的网站时地址栏为绿色;如下图 7 所示,访问部署了已经验证身份的 OV SSL证书的网站时地址栏仍然为白色,但右边有安全锁标志。
