为什么最好不用SSL免费证书?相信很多人都会有这样的疑问,下面聚名企服为您详解一下以上问题。
作为网站信息安全的一项基础配置,越来越多的网站需要安装SSL证书(服务器证书)来认证网站身份和进行HTTPS流量加密。SSL证书由数字证书管理机构(简称CA)签发,为了加快SSL证书的普及和提升自身SSL产品市场占有率,部分CA机构也对外提供免费的SSL证书。
SSL证书主要分为DV型(域名型)、OV型(组织型)和EV型(增强型)三种。CA在签发OV型证书时,会要求网站提交身份资质文件(如企业营业执照、组织机构代码证等),经过人工审核后才会颁发。如果是EV型证书,还会在此基础上追加律师函的审核。而DV型证书,往往通过程序自动匹配申请人或机构信息和所申请的域名信息,只要匹配一致就能获得证书,不需要人工审核,但对申请人身份信息真实性、申请机构是否经过合法注册等问题有所忽视。由于在审核过程中不需要人工,所以DV证书成本很低,可以作为免费证书发放。
但这种不严谨的审核方式造成黑客只需让申请信息与域名信息一致就能轻松获得证书。免费的DV证书是安全级别最低的SSL证书,它仅能起到HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者身份的真实性验证。随着用户越来越信任已安装SSL证书的网站,黑客也会利用这种信任,通过获得免费证书为自己披上看似可信的外衣。
对此,国内CA机构CFCA中国金融认证中心SSL产品研发负责人表示:在目前免费证书身份验证机制还不完善的情况下,出于对用户、网站自身安全的考量,管理员应慎用免费SSL证书,而大型企业或机构网站、尤其涉及用户隐私及金融交易的电商类平台,应优先考虑拥有完整身份验证机制的OV或EV证书。
无尽隐患。HTTPS的出现,刚好弥补了明文协议的这一巨大缺陷。通过SSL证书,可以有效进行信息的加密传输,防止数据在传输过程中被窃取、改变,确保数据的完整性;同时,准确验明服务器“真身”,帮助用户甄别真实网站,保护个人信息与财产,避免上当受骗。
以上就是SSL是什么?和HTTPS是一样的吗的全部介绍,如果您想了解更多有关ssl证书,请及时关注聚名企服。
