|
|
|
联系客服020-83701501

为什么最好不用SSL免费证书?

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  作为网站信息安全的基本配置,越来越多的网站需要安装SSL证书(服务器证书)来认证网站身份和加密HTTPS流量。SSL证书由数字证书颁发机构颁发。为了加快SSL证书的普及,增加自己的SSL产品的市场份额,一些认证机构还提供免费的SSL证书。

为什么最好不用SSL免费证书?

  SSL证书主要分为DV SSL证书OV SSL证书EV SSL证书。颁发OV证书时,CA将要求网站提交身份证件(如营业执照、组织机构代码证等),仅在手动审核后发布。如果证书是EV SSL证书,还会在此基础上追加律师函的审核。

  然而,DV SSL证书通常通过程序自动匹配申请人或组织信息和域名信息。只要匹配一致,无需人工检查即可获得证书。然而,申请人身份信息的真实性以及申请机构是否已经合法注册被忽略。由于在审核过程中不需要人工操作,DV SSL证书成本低,可以作为免费证书发放。

  然而,这种松散的审计方法使得黑客很容易通过使应用程序信息与域名信息一致来获得证书。免费DV SSL证书是安全级别最低的安全证书。它只能起到HTTPS信息加密的作用,但它失去了SSL证书的另一个重要功能,即域名所有者身份的真实性验证。随着用户越来越信任安装了SSL证书的网站,黑客也将利用这种信任,通过获得免费证书来呈现出看似可信的外观。

  对此,国内CA机构CFCA SSL产品研发负责人表示:在目前免费证书认证机制不完善的情况下,为了用户和网站本身的安全,管理员应该谨慎使用免费的SSL证书,而大型企业或机构网站,尤其是涉及用户隐私和金融交易的电子商务平台,应该优先考虑具有完整认证机制的OV SSL证书或EV SSL证书。

  一般来说,虽然免费SSL证书(DV SSL)的申请过程简单,发布速度快,但它只支持加密功能,无法验证服务器的身份。由此造成的潜在威胁相对较大(以前有过这种情况)。建议谨慎使用。在购买付费SSL证书时,专业人士指出,尽可能选择权威机构及其合作代理就足够了。对于一般网站或个人博客,使用一个DV SSL证书就足够了。

数安新闻+更多

证书相关+更多