众所周知,服务器证书目前被广泛部署在服务器端用来保护用户访问网站的过程中信息不被窃取。对于没有安全服务器证书的网站来讲,黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。黑客可以利用这些漏洞窃取他人隐私数据。
曾经有一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的,攻击者可以从Guess数据库中窃取20万个客户的资料,包括用户名、信用卡号和有效期等。Guess公司在次年受到联邦贸易委员会调查之后,同意升级其安全系统,其中就包括部署服务器证书
笔者在这里也提醒大家不要将用户提供的任何文件写入基于服务器的资源,比如镜像和脚本等,同时强烈建议仅支付或者登陆页面部署服务器证书,最终实现https跳转。
