4006-555-883

交易类网站应部署哪类SSL证书更有效

发布时间:2017-03-31 10:28:00
       国际支付卡行业协会PCI(Payment Card Industry )安全标准委员会在20171月,为PCI数据安全标准(PCI DSS)添加了补充方案,详述安全电子商务最佳实践,推荐电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心。


SSL证书的重要性

  电子商务过程涉及用户数据的存储和传输、用户浏览行为的记录、付款操作及持卡人信息安全等诸多方面。一些常见的电子商务实现包括:付款处理应用程序,应用程序编程接口(API),电子数据交换(EDI)的网关,内联框架(IFrames)或由第三方托管的付款页面等等。PCI数据安全标准要求电子商务企业需要通过各类技术在各个环节,确保用户隐私数据及支付信息的安全。


  SSL证书在电子商务网站、API及网关传输等方面的应用都起到非常重要作用。网站上安装SSL证书,对浏览器传输到网站服务器的数据进行加密,确保数据不会被窃听者拦截,认证网站服务器的真实身份,让用户确信敏感信息(支付卡信息或其他数据等)正发送到正确的服务器,而不是欺诈者或数据窃取者的服务器。


不是所有SSL证书都具备同等信任

  虽然所有类型的SSL证书都符合PCI数据安全标准对于公共网络传输加密的要求,但是并非所有SSL证书都具备同等信任水平。证书颁发机构(CA)提供三种不同的服务器验证方式,对应三种信任级别的SSL证书:域名验证型DV SSL证书、企业验证型OV SSL证书和扩展验证型EV SSL证书。其中只有OV SSL证书和EV SSL证书才能真正帮助电子商务行业实现安全与可信,这也是PCI安全标准委员会推荐这两类证书的主要原因。


  SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。OV SSL证书是早期唯一类型的SSL证书,CA机构必须验证域名所有权、企业真实身份等详细信息后,才会给申请企业颁发证书。


      
由于一些企业抱怨身份认证需要一定的审核成本及审核周期,OV SSL证书在推广之初普及进程缓慢,因此催生出一种新的SSL证书类型。DV  SSL证书简化了身份认证流程,仅验证域名所有权即可颁发证书,大大降低了证书成本、缩短了审核周期,受到市场欢迎。但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。


      
存在功能缺陷的DV SSL证书,可被钓鱼网站及欺诈网站利用,给消费者营造“看起来很真实”的假象,欺骗用户信任。用户看到浏览器显示安全锁,便认为敏感数据(支付卡信息及其他数据)已经经过加密,安全传输到服务器,但却不知道可能传输到了欺诈者或数据窃取者的服务器上。DV SSL证书的应用推动了网络传输加密的普及,但是对提升电子商务在线交易的信心没有任何帮助。


      
EV SSL
证书就是为提升电子商务在线交易信心而诞生的。国际标准组织“CA /浏览器论坛”推出扩展验证型EV SSL证书及相关标准,在OV SSL证书的验证基础上,增加了更严格的身份验证流程,并增强了浏览器的身份信息展示方式。通过浏览器绿色地址栏、安全锁及直观展示组织机构名称等视觉展示方式,用户更容易识别该网站已经过严格的身份认证,可以放心地进行在线交易。


  严格的扩展身份验证使EV SSL证书更难获得,钓鱼欺诈者和网络犯罪分子不会为此分享自己的真实身份信息,也无法冒用其他企业的身份信息,因此使用EV SSL证书进行钓鱼欺诈是难以实现的。根据研究统计,20143月至20156月使用HTTPS加密的网络钓鱼站点中,超过77%使用的是匿名的DV SSL证书,但没有使用EV SSL证书用于钓鱼欺诈的案例记录。EV SSL证书成为电子商务企业反击钓鱼欺诈网站、假冒网站的最佳利器。

  因此,天威诚信建议电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心,保障交易安全的同时提升交易量。

最新发布
1
十部委联合发文鼓励 国密算法证书迎来高速发展
2
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远
3
Tengine+BabaSSL强强联合,vTrus证书大有可为
4
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
5
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
6
14.3亿!这家公司将面临比薇娅还高的罚款
7
形势将更严峻!DigiCert发布2022年度八大安全预测
8
频遭网络诈骗,是因为他们还不知道这个……
9
松下集团发生数据泄露 及时部署SSL证书保障信息安全
10
CA/B 论坛年终会议 | 新要求新前景 S/MIME证书和代码签名更新在即
相关推荐
不知道如何“不见面”招投标?天威诚信来帮你!
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
《网络安全审查办法(修订草案征求意见稿)》解读
All in 安全 电商之痛应当如何化解
Tengine+BabaSSL强强联合,vTrus证书大有可为
划重点!《人民法院在线诉讼规则》正在施行中
规范“人脸识别”,为盗刷者戴上“紧箍咒”
频遭网络诈骗,是因为他们还不知道这个……
形势将更严峻!DigiCert发布2022年度八大安全预测
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远