现在是打着:国产SSL证书品牌、自主品牌SSL证书、自有品牌SSL证书。
似乎成立一家CA机构发布国产SSL证书是一个晚上的事情,就最近几年无论大小公司,甚至成立几分钟的公司都有能力发布国产SSL品牌的笑话在业界传开。
套牌非原厂SSL证书有哪些缺点
1、套牌SSL证书证书链并不是使用CA机构官方原厂原封的证书链,面临掉链风险,导致SSL证书直接失去信任,在中国某诚信公司就是典型案例。当初促销买3年送3年SSL证书销售给众多企事单位使用,但突然SSL证书证书链的中间证书因安全问题直接被CA机构吊销,导致数十万的SSL证书到期。
2、由于非原厂,CA机构不承认该订单的存在,不提供产品售后、更没有技术支持。
3、SSL证书里面最重要的Warranty参数不存在,导致没有办法给受影响的用户提供经济补偿。
4、SSL证书安装过程中如果不补充手动写入证书链,会导致部分浏览器无法访问紧接着提示安全风险。
5、随时面临SSL证书被吊销的分享,根据历史来看尤其是拥有6年甚至10年的订单SSL证书,但一些公司成立没有几年直接人去人空,然后将SSL证书直接吊销,导致用户无处申诉。
6、往往套牌非原厂SSL证书的存在主要是可以带来暴力利润,然而产品的安全性及设计存在很多问题,由于缺乏CA机构正规数字证书的管理,导致此类SSL证书很多参数存在虚假宣传,但因缺乏技术识别能力,导致使用中未察觉,然而这一点被黑客利用。
7、SSL证书会被人复制出相同的版本,导致域名被劫持后被模拟在钓鱼网站上使用,由于证书链机构非原厂关联,让不法分子钻了空子。
8、服务商跑路、破产、停业会直接影响SSL证书使用,因为这些订单从不在根证书CA机构产生有效的法律关系,导致一旦停止服务后,随之产生的服务时间无法兑现。
9、由于套牌非原厂SSL证书产品不是正规产品,不符合国内及CA的基本条件,导致该产品将面临的安全风险成为SSL证书可有可无的状态,原有安全的SSL证书将被拉入风险区。
识别方法
套牌非原厂SSL证书,主要在中国比较多,因为行业缺乏监管导致,这类产品,主要特色会宣传自主品牌或者国产品牌,而且你只要记住,除了CFCA,其它都是套牌非原厂SSL证书,另外SSL证书打开详细信息中可以看到根证书名称,这个名称如果显示国外的机构,那么肯定是套牌非原厂SSL证书。
通常销售这类产品的提供商,希望用SSL证书无关的资质包装自己,甚至用一些同行案例给你看,让你傻傻分不清楚,但只要去打开已经安装SSL证书的网站,查看证书的详细信息,就泄漏原型了。
在中国大陆如果要成立自己的SSL证书品牌(CA机构)必须满足以下条件:
1、中国境内生产厂家拥有资质:电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证
2、中国根证书颁发机构,并且使用自己的根证书创建SSL证书,不使用国外根证书做交叉链的机构。
3、CRL、OCSP源服务器位于中国并获得ICP备案
4、CA/B会员
5、通过WebTrust认证
如果你的服务提供商,没有这五点,但缺称呼自己是国产SSL证书,那么就是套牌非原厂SSL证书。
原厂原封并且支持国产化的SSL证书直接选择:GeoTrust中国版(兼容性99%)、GlobalSign(兼容性99%)、CFCA(兼容性65%)。
最后
无论是买SSL证书,还是买别的产品,一定要抓住底线!基本的产品来源一定要正规厂里正规生产!
财经自媒体联盟
第一财经日报 
每日经济新闻 
贝壳财经视频 
尺度商业 
财联社APP 
量子位 
财经网 
华商韬略 
4000520066 欢迎批评指正
All Rights Reserved 新浪公司 版权所有
