全球信息安全服务提供商verisign为了帮助最终用户轻松分辨假冒网站和正规网站,通过与微软IE7.0技术进行了进一步整合。当一个消费者访问这样一个网站时,部署了高安全级别服务器证书的网站,IE7浏览器的地址栏将会变为绿色,并显示该网站拥有数字证书和所有者名称,同时显示证书的颁发机构。
而在IE6.0及以下版本中,服务器证书一般通过地址栏和窗口右下角的金色小锁才能辨识。
第一、 地址栏以https:// 开头
第二、 网站右下角金色小锁,点击可以验证网站身份及服务器证书相关信息
第三、 通过站点签章标志查看,由于服务器证书在浏览器中对于上网者不是很好查看,配置了服务器证书的网站经常会在网页上加入安全标志,便于访问者识别。
配置了服务器证书的网站,实际上是为我们的客户端和网站服务器间建立了加密通道,防止信息传输途中被截获。颁发服务器证书的机构作为第三方机构保证证书颁发真实可靠,通过严格的审核杜绝向假冒网站服务器发放安全服务器证书。假冒网站制造者、钓鱼者邮件的发放者的手法是通过伪造网页通过各种渠道把上网者诱骗到一个假冒的服务器上,从而盗取网民输入的用户名和密码等关键信息。但这些造假者的网站都无法通过大型安全服务提供商的认证,假冒网站的伪造只能停留在页面相似的层次上。
由于假冒网站、盗取密码等安全事件频发,国内一些大型交易平台和网上银行正加快安全布防,重新树立消费者对于网站的信心,比较流行的是推广数字证书技术,例如支付宝的数字证书、工行U盾等。这些数字证书面向个人发放,他相当于一个身份卡片,若想进入关键交易和VIP专区都要出示数字身份证。服务器证书相当是网站的一把锁,个人持有的数字证书相当是一个钥匙,只有锁和钥匙相互匹配才能完成加密通道的建立。
编者采访了国内安全领域的数字认证技术提供商天威诚信数字认证中心副总裁李延昭,据他介绍:“服务器证书作为一项安全技术已得到广泛认可,国内许多网站都通过正规渠道为自己的网站配置了该技术。一个好网站建设在于其对于商誉的积累,如果一个网站总是安全事件频发,无形之中也会给客户不良印象。我们现在许多客户网站配备了安全技术,但却不宣传,不去告知客户如何运用技术识别假网站,只靠安全服务商宣传力量往往不够。即便是IE7.0技术推出,假冒网站更好识别,我想网站所有者仍需大力宣传,让更少的客户因为相信我们的网站,但却由于知识所限被骗上当。在这方面安全技术服务商和网站经营者应当加强合作,让技术更好的保护消费者,而不是仅停留在技术层面上。”
在国内,对外销售提供服务器证书的商家最近持续看涨。由于服务器证书是一个标准产品,销售比较容易,有一部分商家看到服务器证书的市场前景,便疯狂代理境内外各种服务器证书,把它看成是简单的钱货交易,以极低的价格销售各种数字证书。而服务器证书的颁发者作为一个第三方承担着相当重的责任,他要鉴别网站的身份,一旦它丧失了信用随便发放证书,安全技术将变为空谈。如何规范服务器证书市场是政府和安全服务提供商共同面对的问题。
附录:
个人使用的数字证书保存在系统中特定位置,一般不会被木马程序盗取等,由于数字证书不用输入密码等信息,所以通过记录键盘敲击的恶意软件也无从下手,但如果有其他人使用你的电脑,你的数字证书就有可能被别人导出。所以最安全的方式是保存在特定的加密key中,数字证书是无法导出的,但同时也存在丢失的风险。正确的做法是像信用卡、身份证丢了一样,尽快挂失。
(T112)
