SSL证书保护网上个人隐私.docVIP

SSL证书保护网上个人隐私(2) 今年中央电视台“3·15”晚会的重要话题之一是保护人们网上隐私的安全。这一话题非常引人关注，它提醒人们，在日常上网的过程中，尽量注意不要让个人隐私在网上暴露；同时，也对ICP或电子商务网站，如网上银行、网上证券、网上购物等网站提出了新的要求：网站能否采取有效的技术措施，一方面证明自己的网站是真实而非假冒的，另一方面保护用户信息传输的安全。 　　- 本报特约撰稿 王高华 　　什么是SSL证书？ 　　SSL证书有成熟的国际标准，是目前证明网站的真实性、保护用户隐私信息安全的唯一有效的技术手段。 　　网上流行的名言是：“在网上，没有人知道你是一只狗”。这一语道出了互联网的匿名特点。但这对于网上购物和电子商务来讲是危险的，因为您不能也不应该相信所访问的网站就是其所称的某某公司(某某品牌)、或是现实世界中的某某公司(某某品牌)。同时，互联网所使用的 IP 技术是明文传输信息，这样，如果您在网站上提交的所有机密信息不采用加密措施的话，其他人很可能能看到，因为从您的电脑到网站服务器要经过许多路径，许多人能接触到这些路径，有可能非法截获甚至篡改您的机密信息，比如银行卡信息等。 　　实践证明，网站只有部署了 SSL 证书才能保证网站的真实性、保证浏览网站的个人的隐私安全，这是目前已经被实践证明的、唯一的非常成熟的技术解决方案。 　　SSL 证书是遵守 SSL 安全套接层协议的服务器数字证书，由浏览器中“受信任的根证书颁发机构”在验证服务器身份后颁发，具有对网站进行身份验证和对浏览者的信息进行加密传输的双重功能。 　　SSL 安全协议最初是由美国网景(NetScape)公司设计开发的，全称为: 安全套接层协议 (Secure Sockets Layer) ， 它指定了在应用程序协议 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制，它是在传输通信协议 (TCP/IP) 上实现的一种安全协议，采用公开密钥技术，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。由于此协议很好地解决了互联网明文传输的不安全问题，很快得到了业界的支持，并已经成为国际标准。 　　SSL证书从诞生到现在已经有15年的历史。1994年 美国RSA公司设立全球第一个CA(数字证书颁发机构)。1996年 1月，美国VeriSign 公司和南非的Thawte公司相继设立了商业 CA，从此在欧美市场正式开始了商业部署。1999年底，VeriSign以5.76亿美元收购Thawte公司；2001年年初，GeoTrust公司成立，2006年5月，GeoTrust公司被VeriSign 以1.25亿美元收购，VeriSign从2000年通过代理商进入中国市场，为银行、证券等机构的网站颁发SSL证书，GeoTrust和Thawte分别通过代理商于2004年和2006年进入中国市场。目前，国内唯一一家支持浏览器的中国品牌的SSL证书颁发机构是WoSign(沃通)公司，于2006年10月推出了系列SSL证书产品。 　　由于SSL证书能高效地加密网上的信息，并能对网站的身份进行验证，所以，自推出以来就在欧美地区获得了大量部署。再加上，欧美各国有相应的个人隐私保护法律法规，因此，几乎100%的美国政府网站、电子商务网站等，但凡需要用户登录的地方，都部署了 SSL证书。 　　反观我国，SSL证书的应用情况却糟糕得多，我国各种电子政务网站和电子商务网站，几乎 100% 都没有部署SSL证书，也就是说，网站根本没有采取有效的技术手段来加密用户机密信息，如个人手机号码、家庭地址等，其中重要的原因之一是中国相关法律的严重缺失。因此，希望中国的有关部门能尽快立法来保护广大网民的网络隐私权。 　　特别值得关注的是：国内许多在美国上市的公司的网站和系统也没有部署 SSL 证书，这已经触犯了美国有关法律，可能随时会遭到检控，希望这些公司的CIO们能尽快部署 SSL 证书，以免因小小失误而影响了中国公司的美好发展前程。 　　如何确认网站部署了SSL证书 　　浏览器上显示安全锁标志，表明网站部署了SSL证书，并表明信息从终端到网站是被加密的。 　　部署了SSL证书的网站正常情况下会自动显示安全锁标志。以 IE 浏览器为例，如图1 所示，IE 6 版本浏览器的安全锁标志在右下角为， IE 7 版本浏览器的安全锁标志是显示在地址栏的右边。鼠标放在安全锁上面会显示目前采用的加密强度。 　　点击安全锁标志，再点击“查看证书”就会显示证书主要信息，如证书目的、证书颁发者、证书颁发对象、证书有效起始日期等信息。再点击“详细信息”就会显示此证书的详细信息，如证书颁发者、证书主题、密钥用法、吊销列表CRL分发点、证书序列号