如今网上交易日渐流行,交易的双方不见面,彼此只能通过信任机制达成交易。因此,信任显得尤为重要。目前在网络上建立信任机制所采取的主要手段是通过可信的第三方认证机构,为进行电子商务的交易双方提供服务器证书的产品,使得双方在信任第三方认证机构的前提下建立起彼此的信任感。
小证书 大作用
所谓的服务器证书是通过在客户端浏览器和Web服务器之间建立一条SSL安全通道保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否真实可靠。服务器证书一般分为两种:40位和128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。通行的128位SSL(全球服务器)证书可以产生128位会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要1019年的时间。
我们所说的SSL是由Netscape Communication公司设计开发的Secure socket layer安全协议。该安全协议主要用来提供对网站的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了。
当买卖双方在使用有SSL安全协议的服务器时,用户端浏览器会自动分析服务器证书,并根据不同版本的浏览器,产生40位或128位的会话密钥,用于对交易的信息进行加密。在这一过程中,所有工作都会自动完成,因此对用户是绝对透明的。
防患于未然
面对猖獗在互联网上的以“钓鱼网站”进行骗取用户账号和密码的犯罪活动屡见不鲜。前不久在抗震救灾中出现的冒充红十字会网站进行网上非法募捐,就是利用老百姓对互联网技术的不熟悉,采用克隆网站的方式进行诈骗。为了杜绝在全球范围内都发生的在线欺诈泛滥问题,全球著名的数字证书颁发机构(如:VeriSign、GeoTrust、 Thawte等等)联合主流浏览器开发商(如:微软、 Mozilla 、 Opera 和 KDE 等)创立了CA浏览器论坛 ( www.cabforum.org) ,拟在开发一个解决方案来解决网上信任危机和有效地防止在线欺诈犯罪。 EV SSL 证书就是第一个开发成果来保护用户不与没有经过严格身份验证的网上商户从事在线交易,所有颁发 EV SSL 证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份验证,同时浏览器能识别出 EV SSL 证书而使得地址栏变成绿色,这样,在线消费者就能够非常清楚地知道他们正在与谁做交易。
既然这样的服务已经推出,为什么还有那么多的网络消费受骗案件的发生呢?
纵观国内,目前有很多网站采用自签发证书,或者使用未经过根内置(指CA机构通过相关国际机构审查后,与浏览器生产商达成一致,发布在浏览器内。浏览器厂商为CA机构根证书的真实性负责)的服务器证书。诚然,对于网站来说,采用这种方法可以不花或者只花很少的钱就能得到一张服务器证书,但是对于在这样的网站的进行交易的用户,你的利益根本没有得到保证!
辨别服务器是否“正宗”?
网络交易的双方究竟如何保证自己的权益不受到威胁和侵害呢?首要且最简单的方法就是网站选择一张可靠、有效的服务器证书,明确地向消费者标示:我们的网站是安全的。现在,像天威诚信数字认证中心(iTrusChina)就能为用户提供威瑞信(VeriSign)公司颁发的符合国际标准的服务器证书,利用该证书可以使用轻松的识别所登录网站的真实性。
在国际上,作为全球第一品牌的服务器认证机构,威瑞信已经为全球500强企业中的93%、世界最大的40家银行,以及全球50家最大电子商务网站中的47家提供了数字认证服务。威瑞信已经成为国际服务器证书市场最受青睐的品牌。近日,Mozilla在全球下载活动上推出Mozilla Firefox 3,支持全球最值得信任的网络基础架构供应商——威瑞信公司认证中心提供的扩展验证(EV)安全套接字层(SSL)证书,以帮助Mozilla全球1.75亿用户防止无意中把敏感信息提供给网络犯罪分子,由此威瑞信服务器证书已经成为最广泛应用的服务器证书。
2008年威瑞信公司正式将EV SSL证书引入中国,其在中国国内的首要合作伙伴——天威诚信也开始帮助国内的客户更新新一代的服务器证书。随着EV SSL证书的广泛的应用,网民只要观察地址栏的颜色就可以轻松辨认网站的真实性,并通过点击地址栏后面的区域来了解该证书及网站的具体情况。相信在不久的将来绿色的地址栏将帮我们畅享网络安全交易。
