低价数字证书所引发网络信任危机

发布时间：2011-8-8 来源：东南网

　　近来，黑客盗取知名数字证书供应商帐户进而违法颁发数字证书事件层出不穷，继廉价 SSL数字证书供应厂商 Comodo之后，另一家来自以色列，以低价策略引起国内广泛关注的 SSL证书品牌 StartSSL亦在 6月 15日被黑客攻击。

　　Comodo、StartSSL相继遭到黑客攻击，此举已经严重暴露出其作为可信网站认证供应商的诚信问题。据了解， Comodo今年已经多次遭遇被黑客入侵其代理商系统，成功发放 www.google.com, login.yahoo.com, login.skype.com这些知名网站的凭证，并逼迫微软紧急发布证书安全漏洞更新，引起数字证书行业哗然之余，也提醒网络业者必须正视低价数字证书供应商所带来的网络安全信任危机。

　　SSL数字证书是被用来判定网站为可信状态的工具。当 SSL数字证书被添加于网站服务器后，在安全状态栏(Internet Explorer 7及其他浏览器地址栏的一部分)或者在状态栏(位于早期版本 Internet Explorer窗口的底部)中，我们可以看到一个被激活的黄色小锁。这个小锁表示您与网站的连接是安全的。而这类涉及可信度认证服务的 SSL数字证书皆必须由证书颁发机构(CA)所颁发(Comodo、StartSSL即为提供低价数字证书服务的 CA之一)，由 CA认证公司对证书申请者的身份进行验证，以确保该网站为真实并可信赖。

　　令人担心的是，若是核实网站为可信状态的 CA公司遭到攻击或侵入，其所造成的影响将不言可喻。如此一来，您还能相信使用这类低价数字证书的服务，能产生：“可信赖网站”的经营成果吗？

　　Comodo、StartSSL遭攻击事件，不仅让网络业者对低价 SSL数字证书品牌的可靠性产生疑虑，更因低价 SSL数字证书的完全自动化作业，将 CA公司所肩负的 CA保证信息的核实，如公司名称、网站名称(域)或者保证期限等证实该网站为可信状态的信息审查作业，将让黑客有机可乘。Comodo、StartSSL便犯下了这严重的错误。