近日，DigiCert作為CA機(jī)構(gòu)的領(lǐng)頭者，與其他幾個(gè)證書(shū)頒發(fā)機(jī)構(gòu)合作，率先提出了關(guān)于增強(qiáng)EV SSL證書(shū)身份驗(yàn)證的四條建議，以提高EV SSL證書(shū)的安全性。那么，為什么網(wǎng)絡(luò)身份如此重要？DigiCert的建議將如何幫助客戶(hù)呢？本文將逐一為您解答。

為什么網(wǎng)絡(luò)身份如此重要？

互聯(lián)網(wǎng)上充斥著很多網(wǎng)絡(luò)犯罪分子，他們從事著不合法的活動(dòng)，比如網(wǎng)絡(luò)釣魚(yú)、網(wǎng)上詐騙等等。這就是為什么大多數(shù)互聯(lián)網(wǎng)用戶(hù)對(duì)網(wǎng)絡(luò)另外一端他們不了解的人以及網(wǎng)站持懷疑態(tài)度了。通常，我們都想知道在網(wǎng)上與我們互動(dòng)的人和公司的真實(shí)身份，這樣才能消除懷疑和擔(dān)心，以防自己上當(dāng)受騙。

在這如此復(fù)雜且又有不法分子制造種種麻煩的互聯(lián)網(wǎng)環(huán)境中， EV SSL證書(shū)是一個(gè)很棒的工具。用戶(hù)可以用它來(lái)查看網(wǎng)站的身份，幫助他們分析網(wǎng)站所有者是否是一個(gè)真實(shí)存在的合法實(shí)體，有助于增加用戶(hù)的安全感和對(duì)網(wǎng)站的信任度。這就是為什么DigiCert建議增強(qiáng)EV SSL 證書(shū)身份驗(yàn)證的步驟，以保證它的安全性，也希望能更好地保障網(wǎng)站的網(wǎng)絡(luò)安全。

DigiCert從4個(gè)方面提出了增強(qiáng)EV SSL證書(shū)安全性的建議

DigiCert提出了四種提高對(duì)EV SSL證書(shū)認(rèn)證的CA/B論壇標(biāo)準(zhǔn)的具體方法。這些新的標(biāo)準(zhǔn)將使EV SSL證書(shū)變得更強(qiáng)大，并且能解決安全研究人員指出的一些“弱點(diǎn)”。讓我們逐一分析，看看它們將如何幫助所有人實(shí)現(xiàn)網(wǎng)絡(luò)身份識(shí)別：

1.  通過(guò)CAA記錄執(zhí)行驗(yàn)證級(jí)別

通過(guò)DNS機(jī)制創(chuàng)建CAA記錄，從而限定了特定域名頒發(fā)的證書(shū)和CA（證書(shū)頒發(fā)機(jī)構(gòu)）之間的聯(lián)系。從此，再也不能是任意CA都可以為任意域名頒發(fā)證書(shū)。所以，通過(guò)CAA記錄，可讓網(wǎng)站管理員限制哪些CA可以為其域名頒發(fā)證書(shū)。這是對(duì)抗影子IT證書(shū)的絕佳工具——確保組織的證書(shū)得到集中管理和授權(quán)。

但是當(dāng)前CAA記錄只能指定證書(shū)頒發(fā)機(jī)構(gòu)。DigiCert提議擴(kuò)展CAA記錄，以便網(wǎng)站管理員可以控制或限制可以為其域名頒發(fā)的證書(shū)的驗(yàn)證級(jí)別。例如，網(wǎng)站管理員可以將其域名限制為僅從某個(gè)CA頒發(fā)EV SSL證書(shū)。

我們舉例說(shuō)明一下。假設(shè)example.com網(wǎng)站雇了一名網(wǎng)頁(yè)設(shè)計(jì)師，讓他以2020年全新的版面的設(shè)計(jì)來(lái)更新網(wǎng)站博客。注意，該設(shè)計(jì)師無(wú)權(quán)為該域名頒發(fā)SSL證書(shū)。但是，假設(shè)這名設(shè)計(jì)師安裝了WordPress文件編輯器插件，他就可以完成對(duì)該域名的驗(yàn)證并簽發(fā)SSL證書(shū)。那么example.com就部署且使用了未經(jīng)CA授權(quán)頒發(fā)的SSL證書(shū)，網(wǎng)站管理員也無(wú)法掌握該證書(shū)或私鑰，這是一個(gè)重大的安全問(wèn)題。

如果example.com執(zhí)行了將域名限制為僅使用來(lái)自DigiCert CA的EV SSL證書(shū)的CAA記錄，那么其他人員將無(wú)法獲得該證書(shū)的頒發(fā)，因?yàn)橄胍@取未經(jīng)CAA記錄標(biāo)識(shí)的證書(shū)都將以失敗告終。

2.  將全球法人識(shí)別編碼 (LEI)運(yùn)用到 EV SSL 證書(shū)

LEI是全球法人識(shí)別編碼，是按照國(guó)際標(biāo)準(zhǔn)化組織ISO 17442標(biāo)準(zhǔn)為全球法人分配的唯一識(shí)別編碼，旨在加強(qiáng)全球范圍內(nèi)對(duì)法人身份的識(shí)別。

如果將LEI編碼應(yīng)用到EV SSL證書(shū)中，那些讓人混淆以欺騙用戶(hù)的單位名將無(wú)處躲藏。那如何使用LEI編碼呢？這里介紹兩種方法。一種是：瀏覽器可以用LEI編碼生成相關(guān)的信息。當(dāng)然，可能需要一個(gè)附加的調(diào)用。另一種是：您可以直接單擊LEI編碼，然后到其數(shù)據(jù)庫(kù)中查看對(duì)應(yīng)的信息。

將LEI編碼里有關(guān)企業(yè)組織的附加信息添加到EV SSL證書(shū)中，可使用戶(hù)直接了解公司的具體信息。

如果您在LEI數(shù)據(jù)庫(kù)中查找某公司，可獲得包含有關(guān)該組織的許多詳細(xì)信息的報(bào)告。如下圖：

甚至還可查到有關(guān)子公司的信息：

所以說(shuō)，這些信息數(shù)據(jù)已為解決企業(yè)身份驗(yàn)證做好了充足的準(zhǔn)備，就像EV SSL證書(shū)一樣，基礎(chǔ)設(shè)施已準(zhǔn)備就緒，完全可以作為EV SSL證書(shū)身份驗(yàn)證的數(shù)據(jù)點(diǎn)。為什么不考慮LEI編碼來(lái)解決這個(gè)明顯的問(wèn)題？

3.  指定EV SSL驗(yàn)證的標(biāo)準(zhǔn)化數(shù)據(jù)源

在當(dāng)前的EV證書(shū)準(zhǔn)則下，每個(gè)CA自行決定將使用哪些數(shù)據(jù)源來(lái)驗(yàn)證EV SSL證書(shū)中的組織詳細(xì)信息。但是，CA驗(yàn)證的是來(lái)自數(shù)百個(gè)國(guó)家的企業(yè)組織，不同國(guó)家使用的數(shù)據(jù)源質(zhì)量可能存在很大的差異。DigiCert建議CA/B論壇指定一個(gè)可在EV證書(shū)驗(yàn)證過(guò)程中使用可接受的標(biāo)準(zhǔn)化數(shù)據(jù)源。

使用標(biāo)準(zhǔn)化的數(shù)據(jù)源可以提高企業(yè)驗(yàn)證的一致性和速度，彌補(bǔ)一些行為不端的人制造出來(lái)的潛在差距，同時(shí)還是用作處理命名沖突的基礎(chǔ)。

4.  EV SSL證書(shū)驗(yàn)證過(guò)程中同時(shí)進(jìn)行商標(biāo)驗(yàn)證

由于EV SSL證書(shū)旨在向用戶(hù)顯示他們正在訪問(wèn)的網(wǎng)站的企業(yè)身份是確認(rèn)經(jīng)過(guò)CA驗(yàn)證授權(quán)，用戶(hù)可以放心安全使用。那么加上商標(biāo)也是合乎邏輯的。正如DigiCert的Dean Coclin所說(shuō)的：

“大家都熟知商標(biāo)，它是獨(dú)一無(wú)二的，并且可以驗(yàn)證。用戶(hù)可以識(shí)別商標(biāo)，因此，如果瀏覽器在其UI中包含顯示該商標(biāo)，那么用戶(hù)可以放心訪問(wèn)該網(wǎng)站，因?yàn)樵撋虡?biāo)是已驗(yàn)證過(guò)的。如果不包含商標(biāo)，那么證書(shū)機(jī)構(gòu)肯定會(huì)對(duì)此進(jìn)行審查?！?/p>

對(duì)于用戶(hù)來(lái)說(shuō)，商標(biāo)是另一種用來(lái)確認(rèn)用戶(hù)進(jìn)行互動(dòng)的公司與他們所想的公司是同一個(gè)的方式。例如，Windex是SC Johnson公司擁有的一個(gè)商標(biāo)。但許多用戶(hù)可能不知道Windex品牌實(shí)際上是SC Johnson旗下的品牌。在當(dāng)前的EV證書(shū)準(zhǔn)則下，向用戶(hù)展示的企業(yè)信息只能說(shuō)是SC Johnson。然而，如果他們的EV SSL證書(shū)顯示W(wǎng)index商標(biāo)，那么可能會(huì)幫助到用戶(hù)更加堅(jiān)信他們?cè)L問(wèn)的官方網(wǎng)站就是和預(yù)想的網(wǎng)站一致。

以上這四個(gè)想法建議還需經(jīng)過(guò)CA/B論壇討論制定出新的EV SSL證書(shū)準(zhǔn)則才能得以實(shí)施，不過(guò)作為證書(shū)領(lǐng)先品牌的DigiCert率先提出這個(gè)議案，希望為廣大用戶(hù)及時(shí)解決網(wǎng)絡(luò)身份問(wèn)題。

注：本篇是銳成信息平臺(tái)根據(jù)DigiCert的相關(guān)資料匯編而成。如有其他問(wèn)題，歡迎咨詢(xún)?cè)诰€(xiàn)客服。