1. 首页
2. 新闻资讯
3. 安全资讯
4. 为什么最好不用SSL免费证书？

为什么最好不用SSL免费证书？

发布日期：2019-06-06

作为网站信息安全的一项基础配置，越来越多的网站需要安装SSL证书（服务器证书）来认证网站身份和进行HTTPS流量加密。SSL证书由数字证书管理机构（简称CA）签发，为了加快SSL证书的普及和提升自身SSL产品市场占有率，部分CA机构也对外提供免费的SSL证书。

SSL证书主要分为DV SSL证书、OV SSL证书和EV SSL证书三种。CA在签发OV型证书时，会要求网站提交身份资质文件（如企业营业执照、组织机构代码证等），经过人工审核后才会颁发。如果是EV SSL证书证书，还会在此基础上追加律师函的审核。而DV SSL证书证书，往往通过程序自动匹配申请人或机构信息和所申请的域名信息，只要匹配一致就能获得证书，不需要人工审核，但对申请人身份信息真实性、申请机构是否经过合法注册等问题有所忽视。由于在审核过程中不需要人工，所以DV SSL证书成本很低，可以作为免费证书发放。

但这种不严谨的审核方式造成黑客只需让申请信息与域名信息一致就能轻松获得证书。免费的DV SSL证书是安全级别最低的SSL证书，它仅能起到HTTPS信息加密的作用，而丧失了SSL证书的另一重要功能，即域名所有者身份的真实性验证。随着用户越来越信任已安装SSL证书的网站，黑客也会利用这种信任，通过获得免费证书为自己披上看似可信的外衣。

对此，国内CA机构CFCA SSL产品研发负责人表示：在目前免费证书身份验证机制还不完善的情况下，出于对用户、网站自身安全的考量，管理员应慎用免费SSL证书，而大型企业或机构网站、尤其涉及用户隐私及金融交易的电商类平台，应优先考虑拥有完整身份验证机制的OV SSL证书或EV SSL证书。

总的来说，免费的SSL证书（DV SSL）虽然申请流程简单、签发快速，但仅支持加密功能，无法验证服务器身份，由此引发的潜在威胁较大（此前已有案例），建议谨慎采用，在选购付费SSL证书时，专业人士指出，应尽量选择权威机构及其合作代理商家对一般的网站或个人博客而言，使用一个DV SSL证书证书即可。

标签： SSL

上一篇：证书颁发机构签发恶意软件泛滥的探究

下一篇：打击网络犯罪的6个步骤

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件