低端服务器证书的安全威胁

作者：耀曦 时间：2015-02-02

    中国市场上存在的低端SSL服务器证书与国际上的低端证书稍有差别，或准确地说是不入流的服务器证书，该类证书被作为一项安全技术开发出来，证书可能是网站自行发放的，身份验证及加密强度均无法得到有效保障，浏览器一般会自动感应该类证书，并探出安全警告提示，提醒访问者注意网站安全。

    
    因此，该类证书的市场份额并不太，并在日益萎缩。这里我们就暂不考虑其影响，我们常说的低端服务器证书，指的是依然为可信第三方CA数字证书机构颁发的，只是未经过证书为经过身份验证。在IE7.0以前的版本中，如果数字证书来自可信的第三方数字证书机构，浏览器将不会弹出安全提示告知用户网站存在安全威胁，不管是高端的服务器证书还是低端的服务器证书均会显示“锁型安全标志”，除非我们点击小锁或安全站点标志才可以验证网站的详细身份信息。
    
    如果一个假冒网站申请了一个与仿冒网站相似的域名，并了购买低端服务器证书（只验证域名信息，10分钟完成签发），网站同样会显示安全锁型标志，再加上以假乱真的页面，致使钓鱼网站依然猖獗，一旦输入隐私信息，如账户或密码信息，后果依然严重。所以，专业的服务器证书服务商提醒大家，一定要选择经过严格验证的服务器证书，否则后果不堪设想。