交易类网站应部署哪类SSL证书更有效

发布时间:2017-03-31 10:28:00
       国际支付卡行业协会PCI(Payment Card Industry )安全标准委员会在20171月,为PCI数据安全标准(PCI DSS)添加了补充方案,详述安全电子商务最佳实践,推荐电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心。


SSL证书的重要性

  电子商务过程涉及用户数据的存储和传输、用户浏览行为的记录、付款操作及持卡人信息安全等诸多方面。一些常见的电子商务实现包括:付款处理应用程序,应用程序编程接口(API),电子数据交换(EDI)的网关,内联框架(IFrames)或由第三方托管的付款页面等等。PCI数据安全标准要求电子商务企业需要通过各类技术在各个环节,确保用户隐私数据及支付信息的安全。


  SSL证书在电子商务网站、API及网关传输等方面的应用都起到非常重要作用。网站上安装SSL证书,对浏览器传输到网站服务器的数据进行加密,确保数据不会被窃听者拦截,认证网站服务器的真实身份,让用户确信敏感信息(支付卡信息或其他数据等)正发送到正确的服务器,而不是欺诈者或数据窃取者的服务器。


不是所有SSL证书都具备同等信任

  虽然所有类型的SSL证书都符合PCI数据安全标准对于公共网络传输加密的要求,但是并非所有SSL证书都具备同等信任水平。证书颁发机构(CA)提供三种不同的服务器验证方式,对应三种信任级别的SSL证书:域名验证型DV SSL证书、企业验证型OV SSL证书和扩展验证型EV SSL证书。其中只有OV SSL证书和EV SSL证书才能真正帮助电子商务行业实现安全与可信,这也是PCI安全标准委员会推荐这两类证书的主要原因。


  SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。OV SSL证书是早期唯一类型的SSL证书,CA机构必须验证域名所有权、企业真实身份等详细信息后,才会给申请企业颁发证书。


      
由于一些企业抱怨身份认证需要一定的审核成本及审核周期,OV SSL证书在推广之初普及进程缓慢,因此催生出一种新的SSL证书类型。DV  SSL证书简化了身份认证流程,仅验证域名所有权即可颁发证书,大大降低了证书成本、缩短了审核周期,受到市场欢迎。但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。


      
存在功能缺陷的DV SSL证书,可被钓鱼网站及欺诈网站利用,给消费者营造“看起来很真实”的假象,欺骗用户信任。用户看到浏览器显示安全锁,便认为敏感数据(支付卡信息及其他数据)已经经过加密,安全传输到服务器,但却不知道可能传输到了欺诈者或数据窃取者的服务器上。DV SSL证书的应用推动了网络传输加密的普及,但是对提升电子商务在线交易的信心没有任何帮助。


      
EV SSL
证书就是为提升电子商务在线交易信心而诞生的。国际标准组织“CA /浏览器论坛”推出扩展验证型EV SSL证书及相关标准,在OV SSL证书的验证基础上,增加了更严格的身份验证流程,并增强了浏览器的身份信息展示方式。通过浏览器绿色地址栏、安全锁及直观展示组织机构名称等视觉展示方式,用户更容易识别该网站已经过严格的身份认证,可以放心地进行在线交易。


  严格的扩展身份验证使EV SSL证书更难获得,钓鱼欺诈者和网络犯罪分子不会为此分享自己的真实身份信息,也无法冒用其他企业的身份信息,因此使用EV SSL证书进行钓鱼欺诈是难以实现的。根据研究统计,20143月至20156月使用HTTPS加密的网络钓鱼站点中,超过77%使用的是匿名的DV SSL证书,但没有使用EV SSL证书用于钓鱼欺诈的案例记录。EV SSL证书成为电子商务企业反击钓鱼欺诈网站、假冒网站的最佳利器。

  因此,天威诚信建议电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心,保障交易安全的同时提升交易量。

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
Cyberhouse数据泄露:130万名用户信息被免费挂到网上
网络钓鱼在2021年第一季度创新高
规范“人脸识别”,为盗刷者戴上“紧箍咒”
企业数字化转型,数据安全是关键!
加州大学遭勒索软件攻击,隐私数据大规模泄漏
《网络安全审查办法(修订草案征求意见稿)》解读
不知道如何“不见面”招投标?天威诚信来帮你!
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
美国最大的丙烷供应商AmeriGas自曝发生了数据泄露
医疗保健网络钓鱼事件导致大规模数据泄露