全球根證書
大部分用戶都是使用的國外的SSL數字證書,常用的品牌有Symantec、Comodo、GeoTrust等。國內SSL證書和國外SSL證書的區別:
1、全球通用的「信任根預埋」
世界上的EV SSL證書頒發機構成百上千,各自產品在技術、頒發流程不盡相同。為了保護網民的利益,瀏覽器機構、SSL證書頒發機構等多方合作,通過嚴格審查只為一些技術可靠、運營規范的SSL證書頒發機構提供「信任根」預埋。當網民登錄擁有「信任根」的網站時,瀏覽器默認網站是合法機構,而沒有「信任根」的則是自動彈出安全提示警告,提示網民該網站存在安全風險。
2、半遮半掩的「國產SSL證書」
SSL國產品牌證書經過多年的發展,出現了不少全新的國產品牌。SSL證書的運用解決了網民對於網站的信任問題,國產證書雖然擁有符合國人心理的響亮品牌,但絕大多數國產證書由於技術和實力問題無法通過「信任根預埋」審查進入主流SSL證書市場。從而導致了證書在瀏覽器中不兼容和不被認識就照成了證書無法被識別,為了避開「根預埋」的限制,國產證書頒發機構看準了一些國外非主流SSL證書廠商急於搶占市場的心理便主動出擊,讓這些「洋證書」披上國產品牌的外衣,即利用國外品牌的「信任根」頒發國產品牌證書。
3、可信的網站才是關鍵
由於合作方是一些國外「非主流」品牌,這些SSL證書在技術升級、兼容性問題、產品種類上往往存在一些缺陷。致命的是,網民在登錄採用該類SSL證書的網站時,看到的是一個外觀是國產標志,點擊查驗證書卻是另外一幅模樣的混合證書。如何才能讓遍及各地的網民能相信網站,讓SSL證書成為保護網站安全的利器,不能不讓我們再次加以思考。
② 使用國外CA頒發的證書是否涉及安全問題
這是由PKI 的技術特性奠定的。
很多企業在采購數字證書產品前可能都會考慮這個問題,同時,很多混淆視聽的言論往往也讓企業的IT決策者感到疑慮。要回答這個問題,首先需要了解些基本的 SSL 相關的知識。
SSL 安全協議最初是由美國網景 Netscape Communication 公司設計開發的,全稱為:安全套接層協議 (Secure Sockets Layer) , 它指定了在應用程序協議 (如 HTTP 、Telnet 、FTP) 和 TCP/IP 之間提供數據安全性分層的機制,它是在傳輸通信協議 (TCP/IP) 上實現的一種安全協議,採用公開密鑰技術,它為 TCP/IP 連接提供數據加密、伺服器認證、消息完整性以及可選的客戶機認證。
最簡單地講:伺服器部署 SSL 證書後,能確保伺服器與瀏覽器之間的數據傳輸是加密傳輸的,是不能在數據傳輸過程中被篡改和被解密的。所以,所有要求用戶在線填寫機密信息的網站都應該使 用 SSL 證書來確保用戶輸入的信息不會被非法竊取,這不僅是對用戶負責的做法,特別是要求填寫有關信用卡、儲蓄卡、身份證、以及各種密碼等重要信息時,而且也是保 護網站自己的以後機密信息的有效手段。而用戶也應該有這種意識,在線填寫用戶自己認為需要保密的信息時看看瀏覽器右下面是否出現一個鎖樣標志,如果沒有鎖 樣標志,則表明用戶您正在輸入的信息有可能在提交到伺服器的網路傳輸過程中被非法竊取而泄露,建議您拒絕在不顯示安全鎖的網站上提交任何您認為需要保密的 信息,這樣才能確保您的機密信息不會被泄露。
目前國內用戶可選擇購買的 SSL 證書有兩種,一種是直接支持所有瀏覽器的來自美國的 Thawte /GeoTrust/Verisign 等公司頒發的,一種是國內各種認證中心頒發的,但不被瀏覽器認可,需要另外安裝根證書,同時,在訪問網站時會提示 「該安全證書由您沒有選定信任的公司頒發」 或點擊鎖標志查詢證書時會顯示「無法將這個證書驗證到一個受信任的證書頒發機構」。用戶應該根據自己的需要正確選擇全球通用的支持所有瀏覽器的 SSL 證書。
目前,我國幾乎是各個省市都成立了CA(Certification Authority,認證中心),之所以一窩蜂上 CA 項目,無非是兩個理由:一是商業利益驅動,二是國家安全理由。我們對兩個理由稍加分析如下:
一是商業利益驅動,無非是認為電子商務蓬勃發展,人人都將擁有一個數字證書,一個13億人口的巨大市場。但是,在國際上,設立 CA 和審批 CA 是非常嚴格的,光是申請審查費用就是上百萬美元,同時還要辦理所有流行的瀏覽器和伺服器以及其他軟體提供商的兼容認證。CA 系統就象域名系統一樣,類似於有一個全球的根,如果中國獨立搞一套域名系統是不可想像的,但目前的 CA 系統就是各省各市都要搞一套獨立的系統, 而且互不相通,我們認為這是行不通的。
而為什麼要搞獨立的一套,其最大的理由是國家安全,我們當然認為任何涉及到國家機密的系統一定要有自己的系統,這不在我們討論的范圍。對於商業應 用,特別是對於在全球經濟一體化背景下參與國際市場的中國企業,更多的考慮是與國際接軌,是否涉及到安全問題,我們還是先看看 CA 的作用和數字證書的加密原理, CA 的作用就是檢查證書持有者身份的真實性,並用數學方法在數字證書上簽字確認其合法性,以防止證書被偽造或篡改,起到一個通過權威的第三方身份認證的目的。 而私鑰是保存在自己伺服器或個人電腦上的,任何 CA 是不可能得到此私鑰的,所以任何 CA 都不可能竊取或解密伺服器與瀏覽器之間的 SSL 傳輸加密數據,瀏覽器與伺服器之間的加密傳輸過程也不經過CA的認證伺服器,直接是用戶端電腦與伺服器之間的數據傳輸。既然 CA 系統(PKI體系)使得任何 CA 只是起到一個第三方證明的目的,而不可能竊取機密數據,那 CA 是哪個國家的有任何關系嗎?用戶當然應該選擇全球通用的、支持所有瀏覽器的國際認證的數字證書。以安全為理由是不充分的,相信任何懂得一點有關 CA 的常識的人士都能理解,實際上打著安全的理由而還是利益驅動,但由於不支持所有瀏覽器而最終用戶不買帳,其利益也就很難實現了,這就非常容易解釋為何現在 的所有的國內 CA 都處於虧損狀態了。
中國的 CA 頒發的數字證書一定要支持所有瀏覽器和伺服器才能有市場,這是我們希望看到的中國的 CA 的未來必走之路,而現在,我們只能建議用戶購買支持所有瀏覽器的 CA 所頒發的數字證書。
我國於 2005 年 4 月 1 日生效的《電子簽名法》同樣保護美國合法 CA 機構頒發的數字證書,因為數字世界 CA 所起的作用 — 頒發數字證書就等同於現實世界的公證處頒發的公證文件,而中國和美國是相互認可公證文件的,也就是說國外 CA 頒發的數字證書也是受《電子簽名法》保護的,而且是全球通用的。
盡管使用任何國外CA機構授信證書沒有安全問題,那麼我們是否就可以隨便的采購任何CA的產品呢?
③ SSL證書國內和國外有哪些區別
現在提供SSL證書的CA機構有很多,當然國外SSL頒發機構比較多,國內也有一小部分SSL證書頒發機構,主要以免費SSL為主。那麼國內SSL同國外SSL證書究竟有哪些本質意義上的區別呢?
1、全球通用的「信任根預埋」
世界上的EV SSL證書頒發機構成百上千,各自產品在技術、頒發流程不盡相同。為了保護網民的利益,瀏覽器機構、SSL證書頒發機構等多方合作,通過嚴格審查只為一些技術可靠、運營規范的SSL證書頒發機構提供「信任根」預埋。當網民登錄擁有「信任根」的網站時,瀏覽器默認網站是合法機構,而沒有「信任根」的則是自動彈出安全提示警告,提示網民該網站存在安全風險。
2、半遮半掩的「國產SSL證書」
SSL國產品牌證書經過多年的發展,出現了不少全新的國產品牌。SSL證書的運用解決了網民對於網站的信任問題,國產證書雖然擁有符合國人心理的響亮品牌,但絕大多數國產證書由於技術和實力問題無法通過「信任根預埋」審查進入主流SSL證書市場。從而導致了證書在瀏覽器中不兼容和不被認識就照成了證書無法被識別,為了避開「根預埋」的限制,國產證書頒發機構看準了一些國外非主流SSL證書廠商急於搶占市場的心理便主動出擊,讓這些「洋證書」披上國產品牌的外衣,即利用國外品牌的「信任根」頒發國產品牌證書。
3、可信的網站才是關鍵
由於合作方是一些國外「非主流」品牌,這些SSL證書在技術升級、兼容性問題、產品種類上往往存在一些缺陷。致命的是,網民在登錄採用該類SSL證書的網站時,看到的是一個外觀是國產標志,點擊查驗證書卻是另外一幅模樣的混合證書。如何才能讓遍及各地的網民能相信網站,讓SSL證書成為保護網站安全的利器,不能不讓我們再次加以思考。
④ GlobalSign證書有什麼優勢
主流一級簽發機構品牌證書。
解釋原因:
GlobalSign是唯一擁有中國節點CRL國際簽發機構。
GlobalSign信任率較高,專根證書1998年到目前的屬所有操作系統默認根證書。
GlobalSign穩定性更高,擁有全球數字證書節點伺服器,也是目前唯一可以做到的CA機構。
解決辦法:可以在Gworg申請。
⑤ Alphassl證書和GlobalSign證書這兩個證書怎麼樣
GlobalSign擁有Alphassl相同的信任體系。
解釋原因:
AlphaSSL屬於GlobalSign品牌證書,是唯一擁全球CRL節點的CA機構,其中包括有中國CRL節點的伺服器,所以非常適合中國互聯網使用。
可信CA機構SSL證書會被瀏覽器信任,同樣會保護網站安全,避免網站劫持。
AlphaSSL SSL證書具備頂級CA操作系統默認根證書,可以信任更加古老的瀏覽器。
AlphaSSL根證書與網路搜索使用的GlobalSign一模一樣,所以可以達到相同信任級別。
GlobalSign是一家聲譽卓著、備受信賴的CA中心。
GlobalSign源自美國,現已屬於GMO集團下的業務。
GlobalSign通過使用SHA-256和最低2048位RSA密鑰提供了最強加密服務。
GlobalSign SSL提供持續的安全服務。與Netcraft建立合作夥伴關系提供網路釣魚警報服務,如果您的網站上檢測到網路釣魚攻擊將給予通知。
GlobalSign SSL受信於每個主流的瀏覽器、 應用程序和設備。訪客,無論它們使用什麼設備將自動信任您的SSL安全。
GlobalSign自2001年以來,每年通過WebTrust審計。
解決辦法:可以在Gworg拿到GlobalSign或者AlphaSSL證書部署到伺服器。
⑥ globalsign證書有什麼優勢和其他證書不一樣
GlobalSign唯一擁有全球CRL伺服器的國際簽發機構。優勢如下:
1.GlobalSign是一家聲譽卓著、備受信賴的CA中心。內容
2.GlobalSign源自美國,現已屬於GMO集團下的業務。
3.GlobalSign通過使用SHA-256和最低2048位RSA密鑰提供了最強加密服務。
4.GlobalSign SSL提供持續的安全服務。與Netcraft建立合作夥伴關系提供網路釣魚警報服務,如果您的網站上檢測到網路釣魚攻擊將給予通知。
5.GlobalSign SSL受信於每個主流的瀏覽器、 應用程序和設備。訪客,無論它們使用什麼設備將自動信任您的SSL安全。
6.GlobalSign自2001年以來,每年通過WebTrust審計。
解決辦法:在ssln申請GlobalSign證書。
⑦ 國外著名的CA認證中心有哪些
世界上較早的數字證書認證中心、處於領導地位和全球最大的PKI/CA運營商 , 另外一家著名的公司是加拿大的ENTRUST。
⑧ geotrust 證書怎麼樣國外證書好還是國產證書好
geotrust 證書支持中來文公司名,中自文客服認證,幾乎和國產證書一樣的方便
geotrust是digicert旗下品牌,根證書為digicert,為全球可信ssl證書,兼容99%以上的瀏覽器,移動終端,支持小程序,公眾號等
國內證書起步較晚,盡管在國內兼容性可以,但是全球兼容性有待提升
如果您的業務僅限於國內,選擇geotrust和國內的都可以,如果業務遍及全球,建議geotrust
geotrust參數可以參考網頁鏈接網頁鏈接
⑨ 如何選擇國際標準的SSL證書
只有加入了全球證書認證體系,經過國際標准審計,並加入各大根專證書庫的SSL證書才能成屬為被國際認可的、發揮加密和認證作用的全球伺服器證書。
通過國際標准審計的SSL證書機構需要提供以下關鍵3步:
1.根據國際標准,建立根證書體系,一個系統一般要同時滿足2~3個國際標准。
2.由權威的審計公司(如普華永道,安永等)審計證書體系是否達標,每年都需要通過嚴格審計。審計通過後,可取得Webtrust認證。
3.證書入根。CA必須將根證書植入到各大根證書管理機構中,比如微軟,Mozilla,這樣在對應的操作系統和瀏覽器中(比如IE,Chrome,火狐等),才能顯示信任而不會報錯。
⑩ 國際頂級 CA 機構,證書頒發機構都有哪些 他們都是什麼關系 SSL證書不同機構有什麼區別
國際頂級CA機構有GeoTrust、Comodo、Symantec、RapidSSL等,他們之間的區別也就是類型和價格上,其他也沒什麼,都是值得信賴的大品牌。
GeoTrust是世界第二大的數字安全提供者,是非常受歡迎,低廉的價格非常適合中小型企業,簽發速度快並且提供高達256位SSL加密。現已超過150個國家的用戶選擇GeoTrust產品來保護他們的在線交易和各類在線業務,Geotrust的SSL證書和信任產品使各種規模的企業能夠經濟、高效、最大限度的提高其數字交易的安全性。
Comodo是世界上知名的SSL證書頒發機構,著名的網路安全軟體廠商,致力於為個人和企業用戶提供電子郵件安全、託管DNS、PKI管理、SSL證書、安全通訊以及許多其他服務,Comodo是確保互聯網具有可靠和安全性的大型證書頒發機構之一。 Comodo SSL證書保護伺服器和客戶端瀏覽器之間通信連接,保證傳輸和接收的數據的完整性,真實性以及安全性,使Comodo成為一個非常值得信賴的品牌。
Symantec成立於1982年,全球安全領域的領導者,Symantec SSL證書(前身為VeriSign)是全球公認最可靠證書頒發機構。90%的世界500強在使用Symantec SSL證書,工農中建等銀行以及大多數金融機構都在使用Symantec SSL證書。服務於全球超過35個國家,擁有眾多的企業、政府和個人用戶。全球100家最大的金融機構中有90多家,北美500家最大的電子商務網站中75%的網站使用的都是賽門鐵克的SSL證書。
RapidSSL是美國GeoTrust公司的一個面向低端用戶而提供的簡易版、快速簽發、入門級SSL證書的品牌,主要應用於中小規模、入門級的電子商務網站。RapidSSL是GeoTrust公司的下屬品牌,面向個人和小微企業提供廉價的SSL/TLS證書產品,不限制伺服器安裝數量。作為一款域名型 GeoTrust DV SSL證書,RapidSSL申請簡單,通常只需要10分鍾就可以完成伺服器證書的簽發。