向非法网站说不！数字安全服务商JoySSL多举措强化应用合规

满愿文

由于浏览器在地址栏显示锁型或绿色盾牌图标，启用https协议的网站，会给人以更高的安全感。可如果一些不法网站，也部署SSL证书使用了https协议呢？事实上，越来越多的非法或灰色网站已经启用https。由于SSL证书的验签简单快速，且DV级别的证书只验证域名所有权，任何组织和个人，只要拥有域名控制权都可以非常便捷的申请到SSL证书。这本是一件好事，也非常有利于https应用普及。可如果证书验签缺乏监督审查，就很容易被不法分子钻营利用。如何确保产品合规应用，是每个厂商不得不认真思考和亟待解决的问题。

JoySSL，专业数字安全服务商快安信旗下品牌，每月SSL证书签发量数以千计。JoySSL提供的产品与解决方案等广泛覆盖于教育、医疗、政务、银行及其它众多企事业单位，在产品合规应用方面不断探索，除传统的实名认证外，以“合规提醒+排查巡检+预警处理”等多措并举的方式，总结出一套切实可行的经验。JoySSL坚持认为：“无论是CA机构还是证书分销商，都应切实负起责任强化应用合规，向非法网站违规应用说不！”

系统内合规提醒

与OV/EV等高级别数字证书，需要人工核验组织信息不同，只验证域名所有权的DV级SSL证书，多为系统在较短的时间内自动签发（一般十几秒到两三分钟，通过JoySSL即可成功签发DV证书）。也就是说，证书的验签全是用户自主行为，让用户建立遵纪守法意识是SSL证书合规应用的第一步。除传统的通过注册协议、购买协议等法律条款限定产品合法用途外，JoySSL还在平台显著位置予以Tips提示。明确告知用户产品必须在合法前提下使用，否则将予以禁用产品和吊销账户，并视情况报公安机关处理。事实证明，此种方法非常简单有效，平台用户将产品非法使用的比例大幅降低。
1 {" t5 L' z, \, d) Z& m# _, Y


不定期排查巡检
: y' L$ P) [, m9 B0 E
3 Q2 J% o( |1 H$ ]对于法制意识比较淡薄或者本就动机不良的部分用户来说，单纯的合规提醒，难以从根本上解决问题。与提醒文案配套，JoySSL还采用大数据与AI人工智能技术，自行开发了一套产品合规应用巡检系统。配合广泛的关键词库，该系统每周一次对所有已签发证书对应的域名或IP地址等进行安全扫描，以定向快速发现不良网站并进行记录预警。除通过系统巡检产品合规应用情况外，JoySSL还安排专人对预警网站进行人工二次核验，对确切为不法网站应用的证书产品进行及时处理。在“系统+人工”的双策略配合下，基本可以从根源上发现并解决产品的违法应用问题，让好的产品为合法应用保驾护航。
9 x' q1 b; h4 D& B& }# y7 F
有预警及时处理

7 q. r4 M% ^( x0 J人工二次核验确定被非法应用的证书产品，JoySSL工作人员会第一时间联系申请者进行确认，并根据情况予以吊销产品、封禁账户及进行不良网站信息上报等处理。对于申请人反复无法取得联系的，予以直接吊销产品并封禁账户。结合过往经验，JoySSL同时还通过分析IP地址、注册时间、登录方式及申请频次等，综合预判风险用户等级并及时人工干预处理。“认真核验慎重处理，不误判一个网站或应用，更不能让任何一张SSL证书用做非法用途！”，正如JoySSL市场负责人所述，严谨科学的流程配合认真负责的态度，让证书合规应用得到有力保障。
. S! u. N5 e9 p' m+ k& v
价格低廉且验签快速，加之部分厂商提供免费证书产品，https安全协议近两年在中国市场得到广泛应用。SSL证书通过TLS协议让数据加密传输，给网站或应用以安全保障的同时，也让部分不法分子钻营利用。在目前行业尚缺乏有效监管机制的情况下，CA机构和证书分销商自律就显得尤为重要，很显然，快安信携旗下专业https安全品牌JoySSL，为我们树立了很好的榜样。笔者认为，敢于向非法网站或非法应用说不，让安全产品回归安全本源，是每家SSL证书厂商都应坚守的原则。

4 \! k/ i+ Z* [! I" [& R8 f
3 x, h2 r! O. G8 @1 @