如今,越来越多的网站开始选择申请SSL证书对用户隐私和数据安全加以保护,而免费SSL证书的出现则让很多网站运营者偷着乐了一把。但这样的”免费午餐”是不是真的占到了便宜呢?
权威CA机构天威诚信技术负责人提到,SSL证书是由数字证书管理机构(简称CA)签发的,为了提升SSL证书的普及率和自身产品市场占有率,部分CA机构也对外提供免费的SSL证书。当网站申请SSL证书时,通常会要求网站提交身份资质文件(如企业营业执照、组织机构代码证等),经过CA人工审核通过并支付一定费用后才可颁发。
而免费SSL证书往往通过程序自动匹配申请人或机构信息和所申请的域名信息,只要匹配一致就能获得证书,不需要人工审核。这类证书只能验证域名所有权,无法对组织进行验证,即无法验证服务器身份,因此留下了很大的安全漏洞和隐患。黑客只需验证域名信息就能轻松获得证书,从而为自己披上看似可信的外衣。而此时的https仍可起到加密传输的作用,但信息传输的目的却由真实网站的服务器变成了黑客的”钓鱼”服务器,信息加密也就如同皇帝的新衣,黑客抓取用户敏感信息就变得探囊取物般轻而易举。
在选购付费SSL证书时,应尽量选择天威诚信这类权威的CA机构。这些经过国家认可的CA机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。而选择免费证书的用户,常常在对密钥的保存和后续的维护、更新、赔偿等服务中遭遇问题。因此,选择一个具有技术支持能力、拥有完善服务体系、具备良好市场信誉度和口碑的CA机构就显得尤为重要。需要强调的是,https网站的整体安全性依然远高于非https网站,而大型网站一定不要选择”免费”午餐,用户在访问网站时也一定要仔细辨别SSL证书,这样才能更有效的保障隐私安全。
