4006-555-883

交易类网站应部署哪类SSL证书更有效

发布时间:2017-03-31 10:28:00
       国际支付卡行业协会PCI(Payment Card Industry )安全标准委员会在20171月,为PCI数据安全标准(PCI DSS)添加了补充方案,详述安全电子商务最佳实践,推荐电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心。


SSL证书的重要性

  电子商务过程涉及用户数据的存储和传输、用户浏览行为的记录、付款操作及持卡人信息安全等诸多方面。一些常见的电子商务实现包括:付款处理应用程序,应用程序编程接口(API),电子数据交换(EDI)的网关,内联框架(IFrames)或由第三方托管的付款页面等等。PCI数据安全标准要求电子商务企业需要通过各类技术在各个环节,确保用户隐私数据及支付信息的安全。


  SSL证书在电子商务网站、API及网关传输等方面的应用都起到非常重要作用。网站上安装SSL证书,对浏览器传输到网站服务器的数据进行加密,确保数据不会被窃听者拦截,认证网站服务器的真实身份,让用户确信敏感信息(支付卡信息或其他数据等)正发送到正确的服务器,而不是欺诈者或数据窃取者的服务器。


不是所有SSL证书都具备同等信任

  虽然所有类型的SSL证书都符合PCI数据安全标准对于公共网络传输加密的要求,但是并非所有SSL证书都具备同等信任水平。证书颁发机构(CA)提供三种不同的服务器验证方式,对应三种信任级别的SSL证书:域名验证型DV SSL证书、企业验证型OV SSL证书和扩展验证型EV SSL证书。其中只有OV SSL证书和EV SSL证书才能真正帮助电子商务行业实现安全与可信,这也是PCI安全标准委员会推荐这两类证书的主要原因。


  SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。OV SSL证书是早期唯一类型的SSL证书,CA机构必须验证域名所有权、企业真实身份等详细信息后,才会给申请企业颁发证书。


      
由于一些企业抱怨身份认证需要一定的审核成本及审核周期,OV SSL证书在推广之初普及进程缓慢,因此催生出一种新的SSL证书类型。DV  SSL证书简化了身份认证流程,仅验证域名所有权即可颁发证书,大大降低了证书成本、缩短了审核周期,受到市场欢迎。但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。


      
存在功能缺陷的DV SSL证书,可被钓鱼网站及欺诈网站利用,给消费者营造“看起来很真实”的假象,欺骗用户信任。用户看到浏览器显示安全锁,便认为敏感数据(支付卡信息及其他数据)已经经过加密,安全传输到服务器,但却不知道可能传输到了欺诈者或数据窃取者的服务器上。DV SSL证书的应用推动了网络传输加密的普及,但是对提升电子商务在线交易的信心没有任何帮助。


      
EV SSL
证书就是为提升电子商务在线交易信心而诞生的。国际标准组织“CA /浏览器论坛”推出扩展验证型EV SSL证书及相关标准,在OV SSL证书的验证基础上,增加了更严格的身份验证流程,并增强了浏览器的身份信息展示方式。通过浏览器绿色地址栏、安全锁及直观展示组织机构名称等视觉展示方式,用户更容易识别该网站已经过严格的身份认证,可以放心地进行在线交易。


  严格的扩展身份验证使EV SSL证书更难获得,钓鱼欺诈者和网络犯罪分子不会为此分享自己的真实身份信息,也无法冒用其他企业的身份信息,因此使用EV SSL证书进行钓鱼欺诈是难以实现的。根据研究统计,20143月至20156月使用HTTPS加密的网络钓鱼站点中,超过77%使用的是匿名的DV SSL证书,但没有使用EV SSL证书用于钓鱼欺诈的案例记录。EV SSL证书成为电子商务企业反击钓鱼欺诈网站、假冒网站的最佳利器。

  因此,天威诚信建议电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心,保障交易安全的同时提升交易量。

最新发布
1
跟随党的思想指引 共筑网络安全防线
2
Really?这几个行业最容易遭受网络攻击
3
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
4
“羊了个羊”火遍全网,警方发布紧急提醒……
5
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
6
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
7
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
8
5年损失超430亿美元!你的电子邮件系统还安全吗?
9
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
10
4亿多条用户信息被盗,企业网站信息安全如何防护?
相关推荐
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
5年损失超430亿美元!你的电子邮件系统还安全吗?
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
4亿多条用户信息被盗,企业网站信息安全如何防护?
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
国家新安全技术标准发布!公有云个人信息保护成关注焦点
Really?这几个行业最容易遭受网络攻击
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?