DV SSL证书 - 域名验证型SSL证书
DV SSL证书是 Domain Validation SSL 的缩写,指只验证网站域名所有权的简易型SSL证书,域名型DV SSL证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份。所以,不推荐在电子商务网站部署 DV SSL证书,因为电子商务首先需要的是在线信任,其次才是在线安全。WoSign DV超快SSL证书 属于DV SSL证书。此SSL证书可用于SSL VPN设备的SSL加密通信、iOS安卓APP、微信小程序。
本页将演示 DV SSL证书是什么样子的,各种浏览器是如何显示 DV SSL证书的,以及预测 DV SSL证书在不久的将来必将被市场淘汰。
请注意: DV SSL证书仅适合于个人网站或非电子商务网站,由于此类只验证域名所有权的低端SSL证书已经被国外各种欺诈网站滥用,为了保护广大用户的声誉,WoSign不推荐电子商务网站选购此类证书,推荐选购 OV超真SSL证书 或 EV超安SSL证书。
也许你会问:证书主题中不显示 O 字段对加密有影响吗? Good Question! 要回答此问题还得从 SSL证书的诞生说起。 SSL安全协议最初是由美国网景 (Netscape Communication) 公司设计开发的,全称为:安全套接层协议 (Secure Sockets Layer),它指定了在应用程序协议 ( 如 : HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制,它是在传输通信协议 (TCP/IP) 上实现的一种安全协议,采用公开密钥技术,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证等。 SSL加密需要一个由第三方验证服务器身份后签发的SSL证书用于加密需要的公钥。
SSL证书由生俱来有两个功能:一是加密功能,另一个是身份证明功能,即向在线用户证明部署了 SSL 证书的网站的真实身份。其证书主题信息中主要包括如下字段(如下图3所示),我们称之为 标准型 或 机构验证型 SSL证书( Organization Validation SSL,简称:OV SSL):
(1)CN 字段:Common Name ,就是网站的域名;
(2)O 字段:Organization ,此网站的单位名称;
(3)OU 字段:Organization Unit,下属部门名称;也常常用于显示其他证书相关信息,如证书类型,证书产品名称或身份验证类型或验证内容等;
(4)L 字段:Locality,单位所在城市 / 或县区;
(5)S 字段:State/Province,单位所在州或省;
(6)C 字段:Country,单位所在国家,为两位数的国家缩写,如: CN 就是中国;
从“如何识别 DV SSL证书”中,可以看出:DV SSL证书与标准型 SSL证书的不同,DV SSL证书由于并没有验证证书申请单位的真实身份,所以不显示单位名称。
还是回答你的问题:证书主题中不显示 O 字段对加密有影响吗?答案是:不影响!因为SSL证书有两大功能,域名型SSL证书只具有加密功能,并不具有证明自己真实身份的功能。
由于申请此类证书无需人工干预,只验证域名所有权就可以自动颁发证书,所以一些不法网站、欺诈网站等很多与网络犯罪相关的网站会使用此类证书,以企图取得在线用户的信任。这类证书被网络犯罪网站滥用后使得人们对安全锁标志失去了信心,这对于电子商务的健康发展非常不利。为了解决这类只验证域名SSL证书对人们对电子商务的信任危机,就产生了全球统一严格身份验证的EV SSL证书 ,而为了区分域名型SSL证书与EV SSL证书的不同,新版浏览器在访问EV SSL证书时地址栏会变成绿色,意为绿色安全通道,意在增强在线信任。
鉴于此类域名型SSL证书被滥用的危害,但普通网民又不懂如何识别,所以全球领先的信息安全产品提供商Comodo推出的Comodo安全浏览器 ,此浏览器在访问只验证域名SSL证书时,并不是像IE 、火狐等其他浏览器那样仍然显示安全锁标志,而是给用户一个安全警示 ( 如下图 4 所示 ) :与此网站交换信息可能不安全! 该网站的安全(或者 SSL )证书表明其运营方未经过可信的第三方验证其为有效业务。尽管您和该网站之间的通讯会被加密,但是不能保证该网站身份的有效性和真实性,很多与网络犯罪相关的网站会使用此类证书。 在向任何网站提供敏感信息之前,包括登录名 / 密码、身份证信息、财务信息比如信用卡号码,如果看到此警告,您需要采用另外的方法来验证该业务是否真实可靠,或者考虑终止交易。
如果你点击 “ 仍然继续 ” , 则如下图5 所示 , 浏览器地址栏的 https:// 被打叉,并不再显示安全锁标志,而是显示一个警告符。点击警告符,则显示 “ 此网站身份未得到验证 ” ,同时会显示 “ 与此网站的连接采用 128 位加密技术 ” 。也就是说:域名型SSL证书证书只能起到加密的作用,而不能证明网站的真实身份,不能保证此类网站是否是假冒网站还是正宗网站。
鉴于目前各种恶意网站和钓鱼网站泛滥,相信业界一定会采取一定的技术措施来保障用户的利益,可以预测不久的将来,其他浏览器厂商也会像 Comodo 安全浏览器那样对部署了域名型SSL证书网站会有不同的显示效果处理,以帮助用户谨慎对待已经被欺诈网站滥用的域名型SSL证书。
只验证域名所有权的域名型SSL证书是SSL证书市场恶性竞争的畸形产品,已经远离了当初发明SSL证书时初衷。无论是从市场需求来讲 ( 相信真正的电子商务网站谁也不愿意有欺诈网站的嫌疑 ) ,还是从技术角度来讲 ( 如果所有浏览器都不对域名型SSL证书显示安全锁标志的话 ) ,域名型SSL证书必将被市场淘汰出局!