论文部分内容阅读
网络的飞速发展给人们的生活带来了极大的便利。我们可以足不出户,在家轻点鼠标就能轻松地实现缴费、转账、购物、理财……然而我们在网上进行这些操作时,是否会留意一下自己所登录的网站是否确实为某个银行或某个购物网站的真实页面呢?是否曾经收到过一些来历不明的邮件,其中要求你进入某个网址输入一些个人隐私资料呢?没错,这些都是我们在利用网络便利性的同时所遭受到的网络威胁。而以上列举的这两个威胁就是近几年来,每年均被列为网络十大威胁之首的假网站、网络钓鱼类型。
若你因为害怕这些威胁而不敢再使用网银、网上购物时,那就是因噎废食了。正所谓有矛必有盾,有攻必有防,对于这种网络威胁,我们可以借助一个有利的武器来进行防范,那就是被称为“网站身份证”的服务器证书。
1 如何认清楚服务器证书
通常正规的网站只要一进入需输入个人信息的页面时,其地址栏的开头部分就会变为“https://”,并且在IE浏览器的右下角会出现一个小锁的标志,从这两个标志你可以判别这个网站是否拥有网站身份证——服务器证书。安装服务器证书的目的首先是为了让我们能辨别这个网站的身份,因为我们点击右下角的小锁时,会弹出一个证书信息的窗口,从这个窗口中我们能了解到网站身份证的详细信息,以工行网银的服务器证书为例,以下就是其证书内容:
我们可以看到,这张网站身份证上的信息与现实生活中的个人身份证一样,能让我们了解其详细的信息,就像每个人都有姓名一样,该网站的名称就是“mybank,icbc,com,cn”,并且还标注了有效期。另外我们点击“详细信息”时还可了解到进一步的信息:
在“详细信息”中的“主题”一栏中,我们可以清楚地看到O项的内容为“IndustriaI alld Commercial Bank ofChina Limited”,这说明该证书的所有者为中国工商银行。正因为有了这些标记,我们才可以确认现在登录的就是工行的网银站点。
服务器证书应当由谁发放
由此可见,作为网站身份证的服务器证书能够帮助我们认清楚网站的真实身份,在防范假网站、网络钓鱼等网络威胁时具有重要作用。那么,这当中的一个关键问题是,我们凭什么信任这张网站身份证内容的真实性呢?此时服务器证书的颁发机构就显得非常重要了。就如同现实生活中的身份证是由公安局颁发、企业营业执照是由工商局颁发的一样,网站身份证也必须由一个权威、公正、可信的第三方机构颁发才值得我们信任。
那么,何谓权威呢?从法律上说,在国内要经营数字认证业务,必须经过国家工业与信息化部的批准,取得一份叫做《电子认证服务许可证》的证照,这样的认证机构才是合法的,才具有权威性。因为认证机构在取得这份资质许可前,需要符合工信部规定的若干严格条件,包括资本、人员、物理环境、所需承担的责任与义务等多面的条件,经过其多次审查;并且在取得了行业许可后,工信部仍然会对其进行严密监管,每年均要进行年度检查,确保无任何违法违规行为,否则还会被取消资质。只有认证机构自己合法,其发放的数字证书才能合法,才具有法律效力。
但是,服务器证书还有一个比较特殊的地方是,因为IE浏览器中预埋了许多CA机构的根证书,只有根证书预埋进去了,我们登录安装了由此根证书签发的服务器证书的网站时,才不会出现类似“该安全证书由您没有选定信任的公司颁发”的警告框。而目前国内将根证书预埋到IE浏览器中的机构非常之少,大多数机构都以代理国外的服务器证书为主。但即便如此,我们也需要选择具有工信部许可资质的认证机构所代理的服务器证书。因为他们只会选择国外的知名品牌,例如Verisign、Entrust这种在全球通用,获得全球信任保障体系支撑的证书品牌,而不会像一些没有行业许可资质的机构,随便选择一家不知名的、甚至是快濒临倒闭的国外机构的根证书重新包装一下,以低价策略向不了解实情的用户兜售。同时,具有合法资质的认证机构虽然只是代理发放证书,也会以自身的实力向用户保证良好的服务、技术支持,并代表用户向国外厂商主张应有的权力。
那么,又何谓公正和可信呢?合法的认证机构在颁发服务器证书时,会对申请证书的用户身份进行严格的审查。例如上图中工行在申请这张证书时,认证机构掰要进行多重审查:首先工行需提交营业执照,确保其机构合法有效且其名称与我们看到的。项中的机构名称相一致;同时注册机构还会到域名注册商处查询icbc.com.cn这个网址确实是由工行注册并所有;另外还会要求工行的律师出具律师函保证工行申请证书时相关信息的真实性;最后还会亲自打电话核实申请该张证书的员工确实为工行的员工,并且是经过其上级领导的授权。合法的认证机构在进行审查时是站在公正的角度进行的,绝不会为了赚取证书费用而放宽审查的尺度,随意将证书发放出去。
这个时候,有的证书申请者可能会觉得认证机构规定的流程太繁琐而有所怨言,但实际上只有在这么严格的流程保证下,认证机构才能确认证书申请者的身份,才能将证书发给真正的机构,而不是那些钓鱼者;而用户也才能根据这张服务器证书确认网站的真实身份。
因此,对于申请服务器证书的公司,一定要向合法正规的公司申请,千万不要因为低廉的价格而选择一些没有资质的公司和其所颁发的数字证书;而用户在登录涉及到隐私信息的网站时,一定要学会查看此网站的身份证——服务器证书所记载的信息来辨认所登录网站的真假,并要学会辨认此证书是否由权威机构所发放。
若你因为害怕这些威胁而不敢再使用网银、网上购物时,那就是因噎废食了。正所谓有矛必有盾,有攻必有防,对于这种网络威胁,我们可以借助一个有利的武器来进行防范,那就是被称为“网站身份证”的服务器证书。
1 如何认清楚服务器证书
通常正规的网站只要一进入需输入个人信息的页面时,其地址栏的开头部分就会变为“https://”,并且在IE浏览器的右下角会出现一个小锁的标志,从这两个标志你可以判别这个网站是否拥有网站身份证——服务器证书。安装服务器证书的目的首先是为了让我们能辨别这个网站的身份,因为我们点击右下角的小锁时,会弹出一个证书信息的窗口,从这个窗口中我们能了解到网站身份证的详细信息,以工行网银的服务器证书为例,以下就是其证书内容:
我们可以看到,这张网站身份证上的信息与现实生活中的个人身份证一样,能让我们了解其详细的信息,就像每个人都有姓名一样,该网站的名称就是“mybank,icbc,com,cn”,并且还标注了有效期。另外我们点击“详细信息”时还可了解到进一步的信息:
在“详细信息”中的“主题”一栏中,我们可以清楚地看到O项的内容为“IndustriaI alld Commercial Bank ofChina Limited”,这说明该证书的所有者为中国工商银行。正因为有了这些标记,我们才可以确认现在登录的就是工行的网银站点。
服务器证书应当由谁发放
由此可见,作为网站身份证的服务器证书能够帮助我们认清楚网站的真实身份,在防范假网站、网络钓鱼等网络威胁时具有重要作用。那么,这当中的一个关键问题是,我们凭什么信任这张网站身份证内容的真实性呢?此时服务器证书的颁发机构就显得非常重要了。就如同现实生活中的身份证是由公安局颁发、企业营业执照是由工商局颁发的一样,网站身份证也必须由一个权威、公正、可信的第三方机构颁发才值得我们信任。
那么,何谓权威呢?从法律上说,在国内要经营数字认证业务,必须经过国家工业与信息化部的批准,取得一份叫做《电子认证服务许可证》的证照,这样的认证机构才是合法的,才具有权威性。因为认证机构在取得这份资质许可前,需要符合工信部规定的若干严格条件,包括资本、人员、物理环境、所需承担的责任与义务等多面的条件,经过其多次审查;并且在取得了行业许可后,工信部仍然会对其进行严密监管,每年均要进行年度检查,确保无任何违法违规行为,否则还会被取消资质。只有认证机构自己合法,其发放的数字证书才能合法,才具有法律效力。
但是,服务器证书还有一个比较特殊的地方是,因为IE浏览器中预埋了许多CA机构的根证书,只有根证书预埋进去了,我们登录安装了由此根证书签发的服务器证书的网站时,才不会出现类似“该安全证书由您没有选定信任的公司颁发”的警告框。而目前国内将根证书预埋到IE浏览器中的机构非常之少,大多数机构都以代理国外的服务器证书为主。但即便如此,我们也需要选择具有工信部许可资质的认证机构所代理的服务器证书。因为他们只会选择国外的知名品牌,例如Verisign、Entrust这种在全球通用,获得全球信任保障体系支撑的证书品牌,而不会像一些没有行业许可资质的机构,随便选择一家不知名的、甚至是快濒临倒闭的国外机构的根证书重新包装一下,以低价策略向不了解实情的用户兜售。同时,具有合法资质的认证机构虽然只是代理发放证书,也会以自身的实力向用户保证良好的服务、技术支持,并代表用户向国外厂商主张应有的权力。
那么,又何谓公正和可信呢?合法的认证机构在颁发服务器证书时,会对申请证书的用户身份进行严格的审查。例如上图中工行在申请这张证书时,认证机构掰要进行多重审查:首先工行需提交营业执照,确保其机构合法有效且其名称与我们看到的。项中的机构名称相一致;同时注册机构还会到域名注册商处查询icbc.com.cn这个网址确实是由工行注册并所有;另外还会要求工行的律师出具律师函保证工行申请证书时相关信息的真实性;最后还会亲自打电话核实申请该张证书的员工确实为工行的员工,并且是经过其上级领导的授权。合法的认证机构在进行审查时是站在公正的角度进行的,绝不会为了赚取证书费用而放宽审查的尺度,随意将证书发放出去。
这个时候,有的证书申请者可能会觉得认证机构规定的流程太繁琐而有所怨言,但实际上只有在这么严格的流程保证下,认证机构才能确认证书申请者的身份,才能将证书发给真正的机构,而不是那些钓鱼者;而用户也才能根据这张服务器证书确认网站的真实身份。
因此,对于申请服务器证书的公司,一定要向合法正规的公司申请,千万不要因为低廉的价格而选择一些没有资质的公司和其所颁发的数字证书;而用户在登录涉及到隐私信息的网站时,一定要学会查看此网站的身份证——服务器证书所记载的信息来辨认所登录网站的真假,并要学会辨认此证书是否由权威机构所发放。