Extended Validation SSL Certificates翻譯為擴展驗證型伺服器證書(EV 伺服器證書 或 EV SSL證書),申請該證書需要經過最徹底的身份驗證,確保證書持有組織的真實性。套用該證書的網站,瀏覽器地址欄將呈現綠色,綠色地址欄將循環顯示組織名稱和作為證書頒發機構的VeriSign的名稱,從而最大限度上確保網站的安全性,樹立網站可信形象,不給欺詐釣魚網站任何可乘之機。
基本介紹
- 中文名:EV伺服器證書
- 外文名:Extended Validation SSL Certificates
- 別名:擴展驗證型伺服器證書
- 又名:EV SSL證書
產生,提升信任度,特點,客戶端支持,
產生
EV SSL 證書的產生是為了對付日益猖獗的網上欺詐犯罪,意在恢復並增強人們對網上線上交易的信心。EV SSL 證書是一種新型的需要對申請單位進行非常嚴格身份驗證的SSL證書。如果您的網站部署了EV SSL證書,則用戶訪問時瀏覽器的地址欄會變成綠色, 並在地址欄後面顯示一個安全鎖標誌和輪流顯示此網站的單位名稱和此證書的頒發機構,明確指出此網站的身份已經此證書頒發機構嚴格驗證。目前 EV SSL證書加密強度有兩種:最低128位和最高256位(這裡指的是SSL會話時生成加密密鑰的長度,密鑰越長越不容易破解)證書。但即便是128位的加密強度,使用強行攻擊的辦法破譯密碼,也需要10的19次方年。EV SSL 證書是新一代標準的 SSL 證書,意在解決目前各個數字證書頒發機構頒發 SSL 證書採用的身份驗證標準不統一的問題,同時讓用戶能夠非常容易地區分出現有的 SSL 證書和新標準的 SSL 證書,即用戶使用 IE7+、Firefox3.0+訪問部署了 EV SSL 證書的網站時,地址欄會變成綠色,不僅顯示安全鎖,還顯示單位名稱和證書頒發機構的名稱。而訪問現有的其他類型的 SSL 證書時,則仍然只顯示安全鎖標誌。目前在國內已經有部分網站可以看到綠色地址欄。
誰在制定 EV SSL 標準?
答: EV SSL 標準由 CA Browser 論壇制定,此論壇由 VeriSign公司於 2004 年 5 月發起,論壇成員包括主流瀏覽器開發商:微軟、Mozilla 、Google、Apple、Opera 和 KDE ,包括全球領先的數字證書頒發機構:GlobalSign、VeriSign 、 GeoTrust 、Thawte、RSA 等等,同時還有銀行業代表和律師協會等。新證書的指導方針是行業團體CA/Browser Forum經過18個月的討論後正式確立的。
提升信任度
SSL證書是 PKI 公鑰基礎設施中的最常用的數字證書,是構建安全的電子商務的基石。 SSL證書提供了三種安全服務 — 機密性、完整性和身份驗證,確保用戶能:
(1) 安全地與網站伺服器進行通信,所有線上輸入和查閱的信息都不會在傳輸過程中被非法竊取(機密性);
(2) 確保機密信息不會被非法篡改(完整性) ;
(3) 確保用戶確實是在訪問一個所要訪問的網站,而不是一個假冒網站(身份驗證)
而第 (3) 點最能理解為何需要擴展驗證EV SSL證書。對於一個只驗證域名的 SSL 證書,沒有通過身份驗證的網站,就給了網上釣魚欺詐者一個機會可以用一個相象的域名來欺騙那些沒有防範意識的用戶以為是在 與他 / 她希望從事網上交易的公司進行線上交易,從而騙取用戶的錢財。而對於中國普通老百姓由於不懂英文或無法記住複雜的英文域名,就更容易上當受騙了。但是,如 果通過嚴格身份認證的網站在訪問時地址欄顯示綠色,那就簡單多了,普通網民就非常容易識別了,只要記住是否顯示綠色就可以了。
申請擴展驗證EV SSL證書,申請單位必須經過非常嚴格的身份驗證,而此嚴格的身份驗證流程是由 CA/Browser 論壇制訂的增強型身份驗證標準(還未最終定稿) ,所有頒發擴展驗證EV SSL證書的證書頒發機構必須嚴格按照此標準來頒發擴展驗證EV SSL證書。除了要驗證域名所有權外,還包括:申請單位授權其員工辦理申請證書手續的授權書、驗證申請單位是在當地政府合法註冊的、營業執照是有效的(已經年檢的)和是有固定辦公場所的等等。
特點
EV SSL增加第三方嚴格身份審核,為最高級別的SSL證書。
激活瀏覽器綠色地址欄,產生安全綠色強化的加密效果。
網站信息進行256位安全加密,可以保證客戶和伺服器之間的通信安全。
客戶端支持
在IE7.0、Chrome全版本、FireFox3.0、Opera 9.5、Safari3.2 等新一代高安全瀏覽器下,訪問配置了EV伺服器證書的網站時,瀏覽器地址欄會自動呈現綠色,從而清晰地告訴用戶正在訪問的網站是經過嚴格認證的。
反觀國產瀏覽器,目前只有搜狗瀏覽器遵循CA/B論壇規範,引入了對EV伺服器證書的支持。其他瀏覽器均禁止了EV證書綠色地址欄,同時通過白名單方式實現網站認證或為網站添加網站名片。白名單方式是以瀏覽器廠商作為認證主體,對網站身份進行驗證。該認證方式不具備權威性,並且可被DNS攻擊等方式攻破。而通過數字證書的第三方認證方式,不但可以激活國際主流瀏覽器綠色地址欄,還可以由國際權威認證機構對其進行認證,認證結果在全球範圍內受信,同時還會對網站傳輸數據進行加密(SSL)。
只有引入成熟的認證技術和開放性的認證機制,其次再結合自主開發的技術,才能做好“網站認證”這件事。國產瀏覽器在保持快速創新的同時,也應當尊重網站身份認證的基石。在支持自主開發網站身份認證模式的同時,逐漸與國際接軌,支持國際通用的VeriSign等權威第三方身份認證模式,支持的 EV伺服器證書的綠色地址欄功能將會是一種必然的趨勢。
