SSL(安全套接层,Secure Sockets Layer)是一种国际通用的Web安全标准。SSL技术主要通过对关键数据加密来防止各种攻击(如数据劫持和钓鱼攻击等)非法读取重要信息,并且只有授权用户才能读取数据。另外,SSL技术还能够保证用户有效访问网站。值得一提的是,SSL技术能够内置于所有操作系统、Web应用程序和服务器硬件,这意味着功能强大的SSL加密技术能为用户提供一个系统化的稳定环境。在本文中,我们将对SSL技术的最新进展展开讨论,以帮助你选择适合自己的SSL技术。
以服务器为控制入口的加密方法能让大部分网站访客进行加密
如果网站在网上社区的信誉度取决于其严格的信息访问控制,那么网站的网络安全解决方案应该包括强大的加密功能以便每个网站访客能够进行加密,从而使数据转化为代码,使未经授权的访客无法读取。加密功能越强大,黑客就越难盗取网上通信数据,对于网上交易等涉及重要隐私的通信过程尤为重要。
业内专家建议所有网上通信过程至少应该使用128位加密,而有些Web服务器客户端浏览器配置允许对通信过程实施256位的加密保护,这也是当今商用加密保护的最高级别。对通信过程的加密强度取决于客户的浏览器和操作系统的支持水平,以及主机服务器系统的支持水平。如果客户的浏览器或者操作系统不支持高级别的加密保护,则加密保护级别会下降到能够支持的最高水平。
多年来,美国实行出口限制,禁止浏览器制造商分销支持更高级别加密保护的产品。虽然大部分出口限制已经在2000年1月被取消,还是有相当多的消费者(特别是在美国以外)仍然在使用旧版本的浏览器和操作系统(如Windows 2000系统),这将自动降低加密保护水平。IT专家网估计约有上千万的互联网用户使用的是不合标准的加密保护。
SGC是一种SSL扩展技术,最初是为了让美国金融机构免受加密出口限制而开发的。有了SGC技术,加密级别就不再依赖于客户端系统,而是由服务器控制。后来这些出口限制被取消后,SGC SSL证书开始运用于所有类型的网站,而不仅仅是授权的金融机构。
扩展验证SSL(EV SSL)身份验证的黄金标准
虽然越来越多的人开始使用互联网,但是真正愿意利用网络进行交易的人却逐渐减少。Gartner公司2006年的调查显示,对安全问题的顾虑使将近一半的网上消费者开始改变购物方式,直接导致网上业务损失约20亿美元。显然,很多潜在的电子商务客户不敢将个人信息或者财务信息透露给未知实体,在进行交易前他们必须要得到保证。
CA(证书授权中心,Certificate Authority)浏览器供应商和WebTrust审计员们开始想尽办法解决这些问题,他们一种可以让网上消费者理解和接受的标准,这就是EV(Extended Validation,扩展验证) SSL标准。这种新标准旨在打击日益增长的互联网威胁,如钓鱼攻击等。EV SSL标准要求进行严格的网站验证,以验证网站的合法性,它被认为是电子商务行业的“黄金标准”。要想获取EV SSL证书,CA必须通过严格的WebTrust审计。
EV SSL证书为网上交易和客户提供了高强度级别的保护从而防止用户受到日益复杂的互联网欺诈攻击。EV SSL包含一系列改进的用户界面,能让最终用户清楚地看到网站是否合法。
安全性强的新浏览器显示持有EV SSL证书的网站时,与传统的SSL证书有所不同。对于安全合法的网站,传统SSL证书仅会显示挂锁符号,而EV SSL会让浏览器的地址栏立即变为醒目的绿色,这种变化能够让最终用户迅速对网站产生信任感,从而促成交易。
除了地址栏颜色的变化外,在IE7中,安全状态栏还会突出显示网站所有者的名字以及发布EV SSL证书的证书授权方CA,当访问者第一次访问网站时,会同时显示两方的名字。在Firefox 3的试用版中,网站所有者的名字会显示在网站网址的左边,而CA的名字只有当用户将鼠标拖动至地址栏时才会显示。
与传统SSL相同的是,EV SSL证书能够确保网站和消费者浏览器间的安全加密通信,同时能够验证网站的真实性,使所有的访问者知道他们访问的确实是他们想要访问的网站,而不是黑客网站。
支持EV SSL的浏览器
微软公司是第一个支持这种新标准的浏览器生产商,并将EV SSL界面整合至IE7中,虽然IE7刚刚面世不久,却已经占据了44%的浏览器市场(2008年2月数据)。同期发布的Firefox3测试版同样也支持独特的EV界面,Firefox2用户也可以下载EV功能。
第三方认证标志增强消费者信心
几乎所有的消费者都承认他们很担心身份窃取、信用卡欺诈攻击和其他互联网攻击,当然,他们的顾虑也不无道理,2006年7月一年内,互联网攻击导致的金钱损失高达566万美元。
不过,消费者们相信安全问题将很快得到解决,因为互联网安全行业和某些政府机构已经开始采取行动。对于互联网安全问题,消费者们也变得越来越精明。现在很多人只有在看到第三方信任标志以确定网上供货商网站的安全性和可靠性后,才会考虑进行交易。因此,想要确保网上业务不受影响的网站最好努力获取第三方认证。
总结
信誉度在互联网安全世界里是很重要的。依靠网上交易运行的公司已经意识到,可靠的安全的互联网是公司盈利的必要条件,网上消费者感觉越安全,公司就越有可能维持有价值的客户群,成功的网上交易的完成需要与每一个潜在客户建立和培养值得信赖的客户关系。