免费的SSL证书有用吗?
如今,越来越多的网站开始选择申请SSL证书对用户隐私和数据安全加以保护,而免费SSL证书的出现则让很多网站运营者偷偷乐了一把。但免费的SSL证书有用吗?这样的免费午餐是不是真的能占到便宜呢?
免费SSL证书往往通过程序自动匹配申请人或机构信息和所申请的域名信息,只要匹配一致就能获得证书,不需要人工审核。这类证书只能验证域名所有权,无法对组织进行验证,即无法验证服务器身份,因此留下了很大的安全漏洞和隐患。
不法分子只需验证域名信息就能轻松获得证书,从而为自己披上看似可信的外衣。而此时的SSL证书仍可起到加密传输的作用,但信息传输的目的却由真实网站的服务器变成了不法分子的钓鱼服务器,信息加密也就如同皇帝的新衣,不法分子抓取用户敏感信息就变得探囊取物般轻而易举。
除了钓鱼的风险外,免费SSL证书在使用时还有诸多限制。
比如:免费证书只能绑定单个域名、不支持通配符域名等。同样的,这类免费的午餐相关服务也会大打折扣,大多数免费的SSL证书都由用户自行安装,无法提供后期服务和技术支持,在证书遇到问题时,也无法及时得到解决。另外,某些品牌的免费SSL证书有效期较短,每三个月就要更新一次,到期后还要自己申请,很多用户很容易就会忘记续期。
因此,在目前免费SSL证书身份验证机制还不完善的情况下,CnTrus数字认证建议您出于对用户、网站自身安全的考量,管理员应尽量避免使用免费的SSL证书,尤其是大型企业或机构网站、涉及用户隐私及金融交易的电商类平台更不能选择免费的午餐。
总的来说,免费的SSL证书虽然申请流程简单,但仅支持加密功能,无法验证服务器身份,由此引发的潜在威胁较大,并不建议企业机构采用。
《密码法》中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。它的主要功能有两个:加密保护+安全认证。前者是指将原来可读的信息变成不能识别的符号序列,后者是指确认主体和信息的真实可靠性。
密码可以按照不同的标准进行分类。按照保护信息的种类,可以将密码分为核心密码、普通密码和商用密码。
二、为什么要制定《密码法》?
密码是国家重要战略资源,直接关系国家政治安全、经济安全、国防安全和信息安全,制定一部密码领域综合性、基础性法律,十分必要。
核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展密码工作的保障措施等,都需要通过国家立法予以明确。
近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求,需要及时上升为法律规范。
传统对商用密码实行全环节许可管理的手段已不适应职能转变和放管服改革要求,亟需在立法层面重塑现行商用密码管理制度。
三、《密码法》中包含哪些内容?
《密码法》共五章四十四条:
第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。
第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度。
第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。
第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。
第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。
四、网站如何促进《密码法》的施行?
除了淘宝、京东这样的电商平台外,很多传统行业也开始转型或者涉及网上销售、建设自己的商城网站。此类网站往往都有登录和交易系统,存储着大量客户的个人信息和交易信息,一旦泄漏将造成大量损失,因此,保障信息安全刻不容缓。
而这次出台的《密码法》中就明确要求我国的关键信息基础设施运营者应当使用商用密码进行保护。
也就是说,我国的政府网站和各种政务服务系统必须采用国产密码算法的HTTPS加密,实现我国互联网数据从用户端到服务器端都是密文传输的,有效防止各种数据泄露和数据滥用犯罪。
在网络与信息时代,每天都有海量信息产生,全网裸奔和大数据滥用屡见不鲜,严重威胁国家秘密信息、企业商业密码与公民个人隐私保护。对于网站数据安全来说,目前HTTPS是现行网络架构下最安全的解决方案之一。
《密码法》施行至今,您的网站还没部署SSL证书吗?
《密码法》自2020年1月1日起施行以来,对密码事业的发展产生了重大而深远的影响。
SSL证书的重要作用就是保护网站数据传输安全,防止被黑客监听、窃取和篡改。
过去,一般只有大型企业才会安装SSL证书,但是如今,数以百万计的网站为避免浏览器安全警告已经安装SSL证书将其升级为HTTPS加密。
免费的SSL证书,真的香吗?