4006-555-883

交易类网站应部署哪类SSL证书更有效

发布时间:2017-03-31 10:28:00
       国际支付卡行业协会PCI(Payment Card Industry )安全标准委员会在20171月,为PCI数据安全标准(PCI DSS)添加了补充方案,详述安全电子商务最佳实践,推荐电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心。


SSL证书的重要性

  电子商务过程涉及用户数据的存储和传输、用户浏览行为的记录、付款操作及持卡人信息安全等诸多方面。一些常见的电子商务实现包括:付款处理应用程序,应用程序编程接口(API),电子数据交换(EDI)的网关,内联框架(IFrames)或由第三方托管的付款页面等等。PCI数据安全标准要求电子商务企业需要通过各类技术在各个环节,确保用户隐私数据及支付信息的安全。


  SSL证书在电子商务网站、API及网关传输等方面的应用都起到非常重要作用。网站上安装SSL证书,对浏览器传输到网站服务器的数据进行加密,确保数据不会被窃听者拦截,认证网站服务器的真实身份,让用户确信敏感信息(支付卡信息或其他数据等)正发送到正确的服务器,而不是欺诈者或数据窃取者的服务器。


不是所有SSL证书都具备同等信任

  虽然所有类型的SSL证书都符合PCI数据安全标准对于公共网络传输加密的要求,但是并非所有SSL证书都具备同等信任水平。证书颁发机构(CA)提供三种不同的服务器验证方式,对应三种信任级别的SSL证书:域名验证型DV SSL证书、企业验证型OV SSL证书和扩展验证型EV SSL证书。其中只有OV SSL证书和EV SSL证书才能真正帮助电子商务行业实现安全与可信,这也是PCI安全标准委员会推荐这两类证书的主要原因。


  SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。OV SSL证书是早期唯一类型的SSL证书,CA机构必须验证域名所有权、企业真实身份等详细信息后,才会给申请企业颁发证书。


      
由于一些企业抱怨身份认证需要一定的审核成本及审核周期,OV SSL证书在推广之初普及进程缓慢,因此催生出一种新的SSL证书类型。DV  SSL证书简化了身份认证流程,仅验证域名所有权即可颁发证书,大大降低了证书成本、缩短了审核周期,受到市场欢迎。但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。


      
存在功能缺陷的DV SSL证书,可被钓鱼网站及欺诈网站利用,给消费者营造“看起来很真实”的假象,欺骗用户信任。用户看到浏览器显示安全锁,便认为敏感数据(支付卡信息及其他数据)已经经过加密,安全传输到服务器,但却不知道可能传输到了欺诈者或数据窃取者的服务器上。DV SSL证书的应用推动了网络传输加密的普及,但是对提升电子商务在线交易的信心没有任何帮助。


      
EV SSL
证书就是为提升电子商务在线交易信心而诞生的。国际标准组织“CA /浏览器论坛”推出扩展验证型EV SSL证书及相关标准,在OV SSL证书的验证基础上,增加了更严格的身份验证流程,并增强了浏览器的身份信息展示方式。通过浏览器绿色地址栏、安全锁及直观展示组织机构名称等视觉展示方式,用户更容易识别该网站已经过严格的身份认证,可以放心地进行在线交易。


  严格的扩展身份验证使EV SSL证书更难获得,钓鱼欺诈者和网络犯罪分子不会为此分享自己的真实身份信息,也无法冒用其他企业的身份信息,因此使用EV SSL证书进行钓鱼欺诈是难以实现的。根据研究统计,20143月至20156月使用HTTPS加密的网络钓鱼站点中,超过77%使用的是匿名的DV SSL证书,但没有使用EV SSL证书用于钓鱼欺诈的案例记录。EV SSL证书成为电子商务企业反击钓鱼欺诈网站、假冒网站的最佳利器。

  因此,天威诚信建议电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心,保障交易安全的同时提升交易量。

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
Tengine+BabaSSL强强联合,vTrus证书大有可为
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
政府机构频遭黑客攻击,国密改造亟需加快推进
十部委联合发文鼓励 国密算法证书迎来高速发展
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远