1. 程式人生 > >"安全證書上的名稱無效或者與站點名稱不匹配" 的原因 -SSL和CA基礎知識

"安全證書上的名稱無效或者與站點名稱不匹配" 的原因 -SSL和CA基礎知識

SSL 安全協議最初是由美國網景 Netscape Communication 公司設計開發的,全稱為:安全套接層協議 (Secure Sockets Layer) , 它指定了在應用程式協議 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之間提供資料安全性分層的機制,它是在傳輸通訊協議 (TCP/IP) 上實現的一種安全協議,採用公開金鑰技術,它為 TCP/IP 連線提供資料加密、伺服器認證、訊息完整性以及可選的客戶機認證。

。。 最簡單地講:伺服器部署SSL證書後,能確保伺服器與瀏覽器之間的資料傳輸是加密傳輸的,是不能在資料傳輸過程中被篡改和被解密的。所以,所有要求使用者線上填寫機密資訊的網站都應該使用SSL證書來確保使用者輸入的資訊不會被非法竊取,這不僅是對使用者負責的做法,特別是要求填寫有關信用卡、儲蓄卡、身份證、以及各種密碼等重要資訊時,而且也是保護網站自己的以後機密資訊的有效手段。而使用者也應該有這種意識,線上填寫使用者自己認為需要保密的資訊時看看瀏覽器右下面是否出現一個鎖樣標誌,如果沒有鎖樣標誌,則表明使用者您正在輸入的資訊有可能在提交到伺服器的網路傳輸過程中被非法竊取而洩露,建議您拒絕在不顯示安全鎖的網站上提交任何您認為需要保密的資訊,這樣才能確保您的機密資訊不會被洩露。

。。

目前國內使用者可選擇購買的SSL證書有兩種,一種是直接支援所有瀏覽器的WoSign/Verisign等公司頒發的,一種是國內各種認證中心頒發的,但不被瀏覽器認可,需要另外安裝根證書,同時,在訪問網站時會提示 “ 該安全證書由您沒有選定信任的公司頒發 ” 或點選鎖標誌查詢證書時會顯示“ 無法將這個證書驗證到一個受信任的證書頒發機構 ”。使用者應該根據自己的需要正確選擇全球通用的支援所有瀏覽器的SSL證書。

     且證書是與域名繫結,倘若證書的域名和所訪問的網站域名不一致的話,則會提示:該網站出具的安全證書是為其他網站地址頒發的。若點選繼續瀏覽,檢視證書,則會提示:安全證書上的名稱無效或者與站點名詞不匹配。

。。目前,我國幾乎是各個省市都成立了CA(Certification Authority,認證中心),之所以一窩蜂上CA專案,無非是兩個理由:一是商業利益驅動,二是國家安全理由。我們對兩個理由稍加分析如下:

。。一是商業利益驅動,無非是認為電子商務蓬勃發展,人人都將擁有一個數字證書,一個13億人口的巨大市場。但是,在國際上,設立CA和審批CA是非常嚴格的,光是申請審查費用就是上百萬美元,同時還要辦理所有流行的瀏覽器和伺服器以及其他軟體提供商的相容認證。CA系統就象域名系統一樣,類似於有一個全球的根,如果中國獨立搞一套域名系統是不可想象的,但目前的CA系統就是各省各市都要搞一套獨立的系統, 而且互不相通,我們認為這是行不通的。

。。

而為什麼要搞獨立的一套,其最大的理由是國家安全,我們當然認為任何涉及到國家機密的系統一定要有自己的系統,這不在我們討論的範圍。 對於商業應用,特別是對於在全球經濟一體化背景下參與國際市場的中國企業,更多的考慮是與國際接軌,是否涉及到安全問題,我們還是先看看 CA 的作用和數字證書的加密原理, CA 的作用就是檢查證書持有者身份的真實性,並用數學方法在數字證書上簽字確認其合法性,以防止證書被偽造或篡改,起到一個通過權威的第三方身份認證的目的。而私鑰是儲存在自己伺服器或個人電腦上的,任何 CA 是不可能得到此私鑰的,所以任何 CA 都不可能竊取或解密伺服器與瀏覽器之間的 SSL 傳輸加密資料, 瀏覽器與伺服器之間的加密傳輸過程也不經過CA的認證伺服器,直接是使用者端電腦與伺服器之間的資料傳輸。既然CA系統(PKI體系)使得任何CA只是起到一個第三方證明的目的,而不可能竊取機密資料,那CA是哪個國家的有任何關係嗎? 使用者當然應該選擇全球通用的、支援所有瀏覽器的國際認證的數字證書。以安全為理由是不充分的,相信任何懂得一點有關 CA 的常識的人士都能理解,實際上打著安全的理由而還是利益驅動,但由於不支援所有瀏覽器而終端使用者不買帳,其利益也就很難實現了,這就非常容易解釋為何現在的所有的國內 CA 都處於虧損狀態了。

。。 中國的 CA 頒發的數字證書一定要支援所有瀏覽器和伺服器才能有市場,這是我們希望看到的中國的 CA 的未來必走之路,而現在,我們只能建議使用者購買支援所有瀏覽器的 CA所頒發的數字證書。

。。 請注意,我國於 2005 年 4 月 1 日生效的《電子簽名法》同樣保護美國 CA 機構頒發的數字證書,因為數字世界 CA 所起的作用 — 頒發數字證書就等同於現實世界的公證處頒發的公證檔案,而中國和美國是相互認可公證檔案的,也就是說 國外CA頒發的數字證書也是受《電子簽名法》保護的,而且是全球通用的。