新闻中心

免费SSL证书 看起来很美

2018-05-03 00:00:00 7

免费SSL证书 看起来很美

  作为网站信息安全的一项基础配置,越来越多的网站需要安装SSL证书(服务器证书)来认证网站身份和进行HTTPS流量加密,避免“钓鱼”网站和信息泄露的危害。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理 SSL证书。为了加快SSL证书的普及或提升自身SSL产品的市场占有率,部分CA提供免费的SSL证书。对网站管理员来说,免费SSL证书似乎很不错,因为他可以在无成本的情况下为客户提供更安全的服务。但近年来爆出的安全事件说明,免费SSL证书恐怕只是看起来很美。

  存在功能缺陷的免费SSL证书

  目前,SSL证书主要分为DV型(域名型)、OV型(组织型)和EV型(增强型)三种。CA在签发OV型证书时,会要求网站提交身份资质文件(如企业营业执照、组织机构代码证等),经过人工审核后才会颁发。如果是EV型证书,还会在此基础上追加律师函的审核。而DV型证书,往往通过程序自动匹配申请人或机构信息和所申请的域名信息,只要匹配一致就能获得证书,不需要人工审核。而身份信息的真实性、申请机构是否经过合法注册则被完全忽视。由于在审核过程中不需要人工,所以DV证书成本很低,可以作为免费证书发放。

  但这种不严谨的审核方式造成黑客只需让申请信息与域名信息一致就能轻松获得证书。免费的DV证书是安全级别最低的SSL证书,它仅能起到HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者身份的真实性验证。如果身份是虚假的,那加密又有何意义?

  免费SSL证书引发的安全事故

  在不到一年的时间里,免费DV型证书已经引发了多起安全事故:

  ●2015年10月,赛门铁克旗下的Thawte CA在Google不知情的情况下为Google域名颁发了有效期一天的免费SSL证书。之后,Google还查找到更多由赛门铁克签发的问题证书;

  ●2015年12月,安全公司Trend Micro发布消息称,一个恶意广告服务器通过植入银行木马,可自动感染访客的电脑,让黑客在用户不知情的情况下远程访问系统。此恶意服务器安装了Let's Encrypt的免费SSL证书,使其链接可以显示代表安全的HTTPS加密标识,骗取了用户信任。Trend Micro的报告指出,Let's Encrypt的服务存在潜在安全问题,并呼吁该组织在发现免费SSL证书被滥用之后就收回;

  ●2015年6月,有申请者发现沃通CA的免费DV证书服务存在问题,一名申请者本来是想要申请一张med.ucf.edu的证书,不小心写成了www.ucf.edu,结果沃通居然同意了,颁发了一张根域名的证书给他。近期,在这一问题被曝光后,安全研究人员进行了测试,他们发现只要申请者证明他们拥有子域名,沃通就会给他们颁发根域的证书。

  免费证书,谨慎为妙

  对于漏洞频发的免费SSL证书,国内CA机构CFCA中国金融认证中心SSL产品研发负责人表示:网站管理人员及CA机构都应对免费证书持谨慎态度。

  随着用户越来越信任已安装SSL证书的网站,黑客也会利用这种信任,通过获得免费证书为自己披上看似可信的外衣。在目前免费证书身份验证机制还不完善的情况下,出于对用户、网站自身安全的考量,管理员应慎用免费SSL证书,优先考虑拥有完整身份验证机制的OV或EV证书。OV证书不仅验证域名信息,而且要认证服务器及网站对应的机构实体是否存在与合法。而EV证书的认证标准比OV证书更严格,是安全级别最高的SSL证书。


免费SSL证书 看起来很美

  注: 当机构部署EV SSL证书后,网址栏中可以展示机构的身份信息

  而对CA机构来说,免费证书也是一把双刃剑。一方面,免费证书吸引眼球,可以起到很好的宣传营销效果,帮助CA快速占领SSL产品市场。另一方面,一旦因签发免费证书造成安全事故,CA就可能遭到浏览器厂商的惩罚。之前,已有CA因违规签发证书,导致根证书被部分浏览器厂商移除,严重影响了产品的市场推广。

  SSL证书是一种网站安全工具,作为签发者,CA有义务保障其可以被安全使用,防止证书沦为黑客攻击用户的工具。

  如果您希望了解更多SSL证书信息,请访问SSL证书专区或致电021-80158162