全球根证书
大部分用户都是使用的国外的SSL数字证书,常用的品牌有Symantec、Comodo、GeoTrust等。国内SSL证书和国外SSL证书的区别:
1、全球通用的“信任根预埋”
世界上的EV SSL证书颁发机构成百上千,各自产品在技术、颁发流程不尽相同。为了保护网民的利益,浏览器机构、SSL证书颁发机构等多方合作,通过严格审查只为一些技术可靠、运营规范的SSL证书颁发机构提供“信任根”预埋。当网民登录拥有“信任根”的网站时,浏览器默认网站是合法机构,而没有“信任根”的则是自动弹出安全提示警告,提示网民该网站存在安全风险。
2、半遮半掩的“国产SSL证书”
SSL国产品牌证书经过多年的发展,出现了不少全新的国产品牌。SSL证书的运用解决了网民对于网站的信任问题,国产证书虽然拥有符合国人心理的响亮品牌,但绝大多数国产证书由于技术和实力问题无法通过“信任根预埋”审查进入主流SSL证书市场。从而导致了证书在浏览器中不兼容和不被认识就照成了证书无法被识别,为了避开“根预埋”的限制,国产证书颁发机构看准了一些国外非主流SSL证书厂商急于抢占市场的心理便主动出击,让这些“洋证书”披上国产品牌的外衣,即利用国外品牌的“信任根”颁发国产品牌证书。
3、可信的网站才是关键
由于合作方是一些国外“非主流”品牌,这些SSL证书在技术升级、兼容性问题、产品种类上往往存在一些缺陷。致命的是,网民在登录采用该类SSL证书的网站时,看到的是一个外观是国产标志,点击查验证书却是另外一幅模样的混合证书。如何才能让遍及各地的网民能相信网站,让SSL证书成为保护网站安全的利器,不能不让我们再次加以思考。
② 使用国外CA颁发的证书是否涉及安全问题
这是由PKI 的技术特性奠定的。
很多企业在采购数字证书产品前可能都会考虑这个问题,同时,很多混淆视听的言论往往也让企业的IT决策者感到疑虑。要回答这个问题,首先需要了解些基本的 SSL 相关的知识。
SSL 安全协议最初是由美国网景 Netscape Communication 公司设计开发的,全称为:安全套接层协议 (Secure Sockets Layer) , 它指定了在应用程序协议 (如 HTTP 、Telnet 、FTP) 和 TCP/IP 之间提供数据安全性分层的机制,它是在传输通信协议 (TCP/IP) 上实现的一种安全协议,采用公开密钥技术,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
最简单地讲:服务器部署 SSL 证书后,能确保服务器与浏览器之间的数据传输是加密传输的,是不能在数据传输过程中被篡改和被解密的。所以,所有要求用户在线填写机密信息的网站都应该使 用 SSL 证书来确保用户输入的信息不会被非法窃取,这不仅是对用户负责的做法,特别是要求填写有关信用卡、储蓄卡、身份证、以及各种密码等重要信息时,而且也是保 护网站自己的以后机密信息的有效手段。而用户也应该有这种意识,在线填写用户自己认为需要保密的信息时看看浏览器右下面是否出现一个锁样标志,如果没有锁 样标志,则表明用户您正在输入的信息有可能在提交到服务器的网络传输过程中被非法窃取而泄露,建议您拒绝在不显示安全锁的网站上提交任何您认为需要保密的 信息,这样才能确保您的机密信息不会被泄露。
目前国内用户可选择购买的 SSL 证书有两种,一种是直接支持所有浏览器的来自美国的 Thawte /GeoTrust/Verisign 等公司颁发的,一种是国内各种认证中心颁发的,但不被浏览器认可,需要另外安装根证书,同时,在访问网站时会提示 “该安全证书由您没有选定信任的公司颁发” 或点击锁标志查询证书时会显示“无法将这个证书验证到一个受信任的证书颁发机构”。用户应该根据自己的需要正确选择全球通用的支持所有浏览器的 SSL 证书。
目前,我国几乎是各个省市都成立了CA(Certification Authority,认证中心),之所以一窝蜂上 CA 项目,无非是两个理由:一是商业利益驱动,二是国家安全理由。我们对两个理由稍加分析如下:
一是商业利益驱动,无非是认为电子商务蓬勃发展,人人都将拥有一个数字证书,一个13亿人口的巨大市场。但是,在国际上,设立 CA 和审批 CA 是非常严格的,光是申请审查费用就是上百万美元,同时还要办理所有流行的浏览器和服务器以及其他软件提供商的兼容认证。CA 系统就象域名系统一样,类似于有一个全球的根,如果中国独立搞一套域名系统是不可想象的,但目前的 CA 系统就是各省各市都要搞一套独立的系统, 而且互不相通,我们认为这是行不通的。
而为什么要搞独立的一套,其最大的理由是国家安全,我们当然认为任何涉及到国家机密的系统一定要有自己的系统,这不在我们讨论的范围。对于商业应 用,特别是对于在全球经济一体化背景下参与国际市场的中国企业,更多的考虑是与国际接轨,是否涉及到安全问题,我们还是先看看 CA 的作用和数字证书的加密原理, CA 的作用就是检查证书持有者身份的真实性,并用数学方法在数字证书上签字确认其合法性,以防止证书被伪造或篡改,起到一个通过权威的第三方身份认证的目的。 而私钥是保存在自己服务器或个人电脑上的,任何 CA 是不可能得到此私钥的,所以任何 CA 都不可能窃取或解密服务器与浏览器之间的 SSL 传输加密数据,浏览器与服务器之间的加密传输过程也不经过CA的认证服务器,直接是用户端电脑与服务器之间的数据传输。既然 CA 系统(PKI体系)使得任何 CA 只是起到一个第三方证明的目的,而不可能窃取机密数据,那 CA 是哪个国家的有任何关系吗?用户当然应该选择全球通用的、支持所有浏览器的国际认证的数字证书。以安全为理由是不充分的,相信任何懂得一点有关 CA 的常识的人士都能理解,实际上打着安全的理由而还是利益驱动,但由于不支持所有浏览器而最终用户不买帐,其利益也就很难实现了,这就非常容易解释为何现在 的所有的国内 CA 都处于亏损状态了。
中国的 CA 颁发的数字证书一定要支持所有浏览器和服务器才能有市场,这是我们希望看到的中国的 CA 的未来必走之路,而现在,我们只能建议用户购买支持所有浏览器的 CA 所颁发的数字证书。
我国于 2005 年 4 月 1 日生效的《电子签名法》同样保护美国合法 CA 机构颁发的数字证书,因为数字世界 CA 所起的作用 — 颁发数字证书就等同于现实世界的公证处颁发的公证文件,而中国和美国是相互认可公证文件的,也就是说国外 CA 颁发的数字证书也是受《电子签名法》保护的,而且是全球通用的。
尽管使用任何国外CA机构授信证书没有安全问题,那么我们是否就可以随便的采购任何CA的产品呢?
③ SSL证书国内和国外有哪些区别
现在提供SSL证书的CA机构有很多,当然国外SSL颁发机构比较多,国内也有一小部分SSL证书颁发机构,主要以免费SSL为主。那么国内SSL同国外SSL证书究竟有哪些本质意义上的区别呢?
1、全球通用的“信任根预埋”
世界上的EV SSL证书颁发机构成百上千,各自产品在技术、颁发流程不尽相同。为了保护网民的利益,浏览器机构、SSL证书颁发机构等多方合作,通过严格审查只为一些技术可靠、运营规范的SSL证书颁发机构提供“信任根”预埋。当网民登录拥有“信任根”的网站时,浏览器默认网站是合法机构,而没有“信任根”的则是自动弹出安全提示警告,提示网民该网站存在安全风险。
2、半遮半掩的“国产SSL证书”
SSL国产品牌证书经过多年的发展,出现了不少全新的国产品牌。SSL证书的运用解决了网民对于网站的信任问题,国产证书虽然拥有符合国人心理的响亮品牌,但绝大多数国产证书由于技术和实力问题无法通过“信任根预埋”审查进入主流SSL证书市场。从而导致了证书在浏览器中不兼容和不被认识就照成了证书无法被识别,为了避开“根预埋”的限制,国产证书颁发机构看准了一些国外非主流SSL证书厂商急于抢占市场的心理便主动出击,让这些“洋证书”披上国产品牌的外衣,即利用国外品牌的“信任根”颁发国产品牌证书。
3、可信的网站才是关键
由于合作方是一些国外“非主流”品牌,这些SSL证书在技术升级、兼容性问题、产品种类上往往存在一些缺陷。致命的是,网民在登录采用该类SSL证书的网站时,看到的是一个外观是国产标志,点击查验证书却是另外一幅模样的混合证书。如何才能让遍及各地的网民能相信网站,让SSL证书成为保护网站安全的利器,不能不让我们再次加以思考。
④ GlobalSign证书有什么优势
主流一级签发机构品牌证书。
解释原因:
GlobalSign是唯一拥有中国节点CRL国际签发机构。
GlobalSign信任率较高,专根证书1998年到目前的属所有操作系统默认根证书。
GlobalSign稳定性更高,拥有全球数字证书节点服务器,也是目前唯一可以做到的CA机构。
解决办法:可以在Gworg申请。
⑤ Alphassl证书和GlobalSign证书这两个证书怎么样
GlobalSign拥有Alphassl相同的信任体系。
解释原因:
AlphaSSL属于GlobalSign品牌证书,是唯一拥全球CRL节点的CA机构,其中包括有中国CRL节点的服务器,所以非常适合中国互联网使用。
可信CA机构SSL证书会被浏览器信任,同样会保护网站安全,避免网站劫持。
AlphaSSL SSL证书具备顶级CA操作系统默认根证书,可以信任更加古老的浏览器。
AlphaSSL根证书与网络搜索使用的GlobalSign一模一样,所以可以达到相同信任级别。
GlobalSign是一家声誉卓著、备受信赖的CA中心。
GlobalSign源自美国,现已属于GMO集团下的业务。
GlobalSign通过使用SHA-256和最低2048位RSA密钥提供了最强加密服务。
GlobalSign SSL提供持续的安全服务。与Netcraft建立合作伙伴关系提供网络钓鱼警报服务,如果您的网站上检测到网络钓鱼攻击将给予通知。
GlobalSign SSL受信于每个主流的浏览器、 应用程序和设备。访客,无论它们使用什么设备将自动信任您的SSL安全。
GlobalSign自2001年以来,每年通过WebTrust审计。
解决办法:可以在Gworg拿到GlobalSign或者AlphaSSL证书部署到服务器。
⑥ globalsign证书有什么优势和其他证书不一样
GlobalSign唯一拥有全球CRL服务器的国际签发机构。优势如下:
1.GlobalSign是一家声誉卓著、备受信赖的CA中心。内容
2.GlobalSign源自美国,现已属于GMO集团下的业务。
3.GlobalSign通过使用SHA-256和最低2048位RSA密钥提供了最强加密服务。
4.GlobalSign SSL提供持续的安全服务。与Netcraft建立合作伙伴关系提供网络钓鱼警报服务,如果您的网站上检测到网络钓鱼攻击将给予通知。
5.GlobalSign SSL受信于每个主流的浏览器、 应用程序和设备。访客,无论它们使用什么设备将自动信任您的SSL安全。
6.GlobalSign自2001年以来,每年通过WebTrust审计。
解决办法:在ssln申请GlobalSign证书。
⑦ 国外著名的CA认证中心有哪些
世界上较早的数字证书认证中心、处于领导地位和全球最大的PKI/CA运营商 , 另外一家著名的公司是加拿大的ENTRUST。
⑧ geotrust 证书怎么样国外证书好还是国产证书好
geotrust 证书支持中来文公司名,中自文客服认证,几乎和国产证书一样的方便
geotrust是digicert旗下品牌,根证书为digicert,为全球可信ssl证书,兼容99%以上的浏览器,移动终端,支持小程序,公众号等
国内证书起步较晚,尽管在国内兼容性可以,但是全球兼容性有待提升
如果您的业务仅限于国内,选择geotrust和国内的都可以,如果业务遍及全球,建议geotrust
geotrust参数可以参考网页链接网页链接
⑨ 如何选择国际标准的SSL证书
只有加入了全球证书认证体系,经过国际标准审计,并加入各大根专证书库的SSL证书才能成属为被国际认可的、发挥加密和认证作用的全球服务器证书。
通过国际标准审计的SSL证书机构需要提供以下关键3步:
1.根据国际标准,建立根证书体系,一个系统一般要同时满足2~3个国际标准。
2.由权威的审计公司(如普华永道,安永等)审计证书体系是否达标,每年都需要通过严格审计。审计通过后,可取得Webtrust认证。
3.证书入根。CA必须将根证书植入到各大根证书管理机构中,比如微软,Mozilla,这样在对应的操作系统和浏览器中(比如IE,Chrome,火狐等),才能显示信任而不会报错。
⑩ 国际顶级 CA 机构,证书颁发机构都有哪些 他们都是什么关系 SSL证书不同机构有什么区别
国际顶级CA机构有GeoTrust、Comodo、Symantec、RapidSSL等,他们之间的区别也就是类型和价格上,其他也没什么,都是值得信赖的大品牌。
GeoTrust是世界第二大的数字安全提供者,是非常受欢迎,低廉的价格非常适合中小型企业,签发速度快并且提供高达256位SSL加密。现已超过150个国家的用户选择GeoTrust产品来保护他们的在线交易和各类在线业务,Geotrust的SSL证书和信任产品使各种规模的企业能够经济、高效、最大限度的提高其数字交易的安全性。
Comodo是世界上知名的SSL证书颁发机构,著名的网络安全软件厂商,致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务,Comodo是确保互联网具有可靠和安全性的大型证书颁发机构之一。 Comodo SSL证书保护服务器和客户端浏览器之间通信连接,保证传输和接收的数据的完整性,真实性以及安全性,使Comodo成为一个非常值得信赖的品牌。
Symantec成立于1982年,全球安全领域的领导者,Symantec SSL证书(前身为VeriSign)是全球公认最可靠证书颁发机构。90%的世界500强在使用Symantec SSL证书,工农中建等银行以及大多数金融机构都在使用Symantec SSL证书。服务于全球超过35个国家,拥有众多的企业、政府和个人用户。全球100家最大的金融机构中有90多家,北美500家最大的电子商务网站中75%的网站使用的都是赛门铁克的SSL证书。
RapidSSL是美国GeoTrust公司的一个面向低端用户而提供的简易版、快速签发、入门级SSL证书的品牌,主要应用于中小规模、入门级的电子商务网站。RapidSSL是GeoTrust公司的下属品牌,面向个人和小微企业提供廉价的SSL/TLS证书产品,不限制服务器安装数量。作为一款域名型 GeoTrust DV SSL证书,RapidSSL申请简单,通常只需要10分钟就可以完成服务器证书的签发。