部署SSL证书中的风险你知道吗？

国内CA机构颁发SSL证书的风险：

　　目前，国内很多CA机构都在颁发SSL证书，但存在着一些问题，主要体现在以下几个方面。

　　首先，国内CA机构颁发的SSL证书很多没有通过微软的认证，这样，IE浏览器无法识别，并且会显示警告信息，如：IE7浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据，建议关闭此网页，并且不要继续浏览该网站”，这种警告使得用户不敢再访问此网站，也就不会有网站愿意购买国内CA机构颁发的SSL证书了。

　　其次，SSL证书中没有浏览器能自动识别和通过http访问的吊销列表，这意味着：如果证书颁发机构发现某个SSL证书有问题，或是欺诈网站，则可以吊销此证书，但由于浏览器无法识别有效的吊销列表因此无法实时监测到此证书是否已经吊销，这样问题会相当严重，这就相当于一个公司的营业执照被吊销而无法查实一样。比如，CNNIC颁发给客户的SSL证书的吊销列表一个是不可访问的，另一个是LDAP方式的吊销列表，是浏览器无法直接访问的，因此无法确认该SSL证书是否有效。

　　第三，数字证书类型会有错误。数字证书按产品功能分，主要分为：用于服务器端的SSL证书、用于客户端的个人证书和用于数字签名软件代码的代码签名证书。而有些国内CA机构颁发的SSL证书类型居然是用于客户端验证的个人证书，这会导致浏览器因无法识别正确的证书类型而无法实现SSL加密功能。

　　第四，证书主题不符合国际标准。证书主题信息一般会显示SSL证书域名(CN)、单位名称(O)、部门名称(OU)、所在国家?、所在省份(S)和所在市县(L)，而许多国内CA机构颁发的SSL证书的证书申请单位名称O字段居然是CA的名称！按照X.509证书标准格式规定， SSL证书主题信息中的“O”字段只能写SSL证书申请单位的名称，而绝对不能写成CA机构的名词，这不仅不符合证书标准规范，而且会给CA机构带来法律风险和给SSL证书申请单位带来品牌伤害和在线信任问题。比如，国内某CA机构颁发给某银行的SSL证书的O字段是此CA机构的名称，而不是该银行的名称，按照X.509证书标准格式解释，该银行属于此CA机构。同样的问题也出现在CNNIC颁发给网易的SSL证书上，O字段应该显示网易公司名称，但居然显示“CNNIC SSL”，这意味着此网站*.help.163.com属于CNNIC，而不属于网易公司。不仅如此，有些还把L字段写成地址，S字段写成一串数字等等，都是不符合数字证书X.509国际标准的。

　　国际机构颁发SSL证书的风险：

　　鉴于国内CA机构颁发的SSL证书不支持各种浏览器（浏览器因无法识别而显示警告信息），所以目前国内几乎所有重要的网上银行、网上证券、电子商务网站和电子政务系统全部部署的是国外CA机构颁发的SSL证书，这是有一定风险的，主要体现在以下三个方面。

　　一是，所有https://访问都是实时向证书颁发机构查询吊销列表的，一旦证书被吊销，SSL证书就不能正常工作了，也就是说不能起到加密的作用了。证书颁发机构(CA机构)根据用户的申请或其他原因可以随时吊销SSL证书。试想一下：如果由于某些原因，所有中国的网上银行的SSL证书被国外CA机构吊销，则中国的网银用户都无法使用网银了！如果连到美国的互联网线路中断，则用户无法访问位于美国的证书吊销列表，还是一样会影响到网银用户的正常使用！

　　其次，是中文单位名称问题。国外CA机构颁发的证书不支持中文单位名称，是普通网民看不懂的英文名称，这不仅不方便国内网民在线实时查看网站的真实身份，而且由于国内企业并没有标准的英文名称，而证书中显示的是翻译的英文名称，会存在一定的法律风险。

　　第三， 是技术支持问题：国外CA机构的身份验证和技术支持一般都在国外，对于国内用户而言，存在语言障碍和时差问题，这也不利于SSL证书的部署和可靠运行。

合信SSL证书商城是专售Symantec、Geotrust、Comodo以及RapidSSL等多家全球权威CA机构的SSL数字证书。我们提供多品牌、多类型SSL证书申请和安装服务，免手续费，全程专业技术指导。