|
由于浏览器在地址栏显示锁型或绿色盾牌图标,启用https协议的网站,会给人以更高的安全感。可如果一些不法网站,也部署SSL证书使用了https协议呢?事实上,越来越多的非法或灰色网站已经启用https。由于SSL证书的验签简单快速,且DV级别的证书只验证域名所有权,任何组织和个人,只要拥有域名控制权都可以非常便捷的申请到SSL证书。这本是一件好事,也非常有利于https应用普及。可如果证书验签缺乏监督审查,就很容易被不法分子钻营利用。如何确保产品合规应用,是每个厂商不得不认真思考和亟待解决的问题。& ~! j2 _7 o C+ i# `
4 R6 ~: B8 P$ F& r8 n
JoySSL,专业数字安全服务商快安信旗下品牌,每月SSL证书签发量数以千计。JoySSL提供的产品与解决方案等广泛覆盖于教育、医疗、政务、银行及其它众多企事业单位,在产品合规应用方面不断探索,除传统的实名认证外,以“合规提醒+排查巡检+预警处理”等多措并举的方式,总结出一套切实可行的经验。JoySSL坚持认为:“无论是CA机构还是证书分销商,都应切实负起责任强化应用合规,向非法网站违规应用说不!”
6 g6 O3 G" c0 @' j4 G# B5 Y0 I8 {( l/ @3 u* H, M6 N( y. O* B! Y
系统内合规提醒
( Y" B8 g- \. o- D! y% g/ I6 ?4 Q2 ?1 D# }0 W: `/ S& R [6 E7 [2 R
与OV/EV等高级别数字证书,需要人工核验组织信息不同,只验证域名所有权的DV级SSL证书,多为系统在较短的时间内自动签发(一般十几秒到两三分钟,通过JoySSL即可成功签发DV证书)。也就是说,证书的验签全是用户自主行为,让用户建立遵纪守法意识是SSL证书合规应用的第一步。除传统的通过注册协议、购买协议等法律条款限定产品合法用途外,JoySSL还在平台显著位置予以Tips提示。明确告知用户产品必须在合法前提下使用,否则将予以禁用产品和吊销账户,并视情况报公安机关处理。事实证明,此种方法非常简单有效,平台用户将产品非法使用的比例大幅降低。
" N- a4 x2 k+ B
+ n3 b$ g% w! r `) S9 k5 k. I# |& X/ v
3 B4 h0 i% b7 a0 a9 s T
不定期排查巡检: L$ Q; t) P5 x) N
7 b5 T& R9 I' ?1 n" F& F$ w! h9 Y
对于法制意识比较淡薄或者本就动机不良的部分用户来说,单纯的合规提醒,难以从根本上解决问题。与提醒文案配套,JoySSL还采用大数据与AI人工智能技术,自行开发了一套产品合规应用巡检系统。配合广泛的关键词库,该系统每周一次对所有已签发证书对应的域名或IP地址等进行安全扫描,以定向快速发现不良网站并进行记录预警。除通过系统巡检产品合规应用情况外,JoySSL还安排专人对预警网站进行人工二次核验,对确切为不法网站应用的证书产品进行及时处理。在“系统+人工”的双策略配合下,基本可以从根源上发现并解决产品的违法应用问题,让好的产品为合法应用保驾护航。" k" X5 K) l/ G2 t& J. e; C
# Q* b) n' W4 X2 D
有预警及时处理
: C# c, B1 s( v: H! b1 R7 N% Q6 p
人工二次核验确定被非法应用的证书产品,JoySSL工作人员会第一时间联系申请者进行确认,并根据情况予以吊销产品、封禁账户及进行不良网站信息上报等处理。对于申请人反复无法取得联系的,予以直接吊销产品并封禁账户。结合过往经验,JoySSL同时还通过分析IP地址、注册时间、登录方式及申请频次等,综合预判风险用户等级并及时人工干预处理。“认真核验慎重处理,不误判一个网站或应用,更不能让任何一张SSL证书用做非法用途!”,正如JoySSL市场负责人所述,严谨科学的流程配合认真负责的态度,让证书合规应用得到有力保障。
1 V! P6 n" j' ]+ l: _2 ~4 \ Y U% ]" `! f9 H
价格低廉且验签快速,加之部分厂商提供免费证书产品,https安全协议近两年在中国市场得到广泛应用。SSL证书通过TLS协议让数据加密传输,给网站或应用以安全保障的同时,也让部分不法分子钻营利用。在目前行业尚缺乏有效监管机制的情况下,CA机构和证书分销商自律就显得尤为重要,很显然,快安信携旗下专业https安全品牌JoySSL,为我们树立了很好的榜样。笔者认为,敢于向非法网站或非法应用说不,让安全产品回归安全本源,是每家SSL证书厂商都应坚守的原则。( U( p B5 r$ k
) ~9 d+ _( V& a# H- t
* F8 t8 b* \* } ^: A* q- Q
|
|