劣幣驅除良幣?數字證書,我們該信誰?
【51CTO.com獨家特稿】國內知名安全軟件廠商360安全衛士在2009年12月30日發出警報,目前國內某些公司頒發的數字證書為木馬程序簽名,從而使木馬程序繞過防火墻和安全軟件的檢測,對用戶帶來極大危害。此言一出,引起國內各方的強烈反響和激烈爭論。
爭論總體來自三個方面。一方面是用戶,大多數用戶對數字證書的了解不多,但至少都知道數字證書和數字簽名是一種安全和信任的表示,如果數字證書和數字簽名都不能相信,那么我們在互聯網上如何識別惡意軟件和網站呢?另一方面來自安全軟件廠商,絕大多數安全軟件廠商都會采用數字證書對自己的軟件進行簽名,一來是未來保護自己的著作權不被侵犯,二來是為了塑造在用戶心中的信任感。
但如果數字簽名不可信,那么軟件市場就會陷入一個“劣幣驅除良幣”的局面,大量優質軟件和可信程序會因為少數惡意軟件對用戶的侵害,也喪失用戶的信任。第三方面是權威的數字認證中心,他們是數字證書的頒發機構。對于360安全衛士的指責他們大多感到很無奈,畢竟是極個別沒有資質的廠商頒發的數字證書造成了這種局面,而這對整個行業的可信度都產生了極壞的影響。
問題的焦點在于,他們究竟是誰,他們是否能代表整個數字認證行業,他們的行為是如何產生的,會對用戶和軟件廠商帶來怎樣的危害?據筆者了解,數字認證行業(CA)屬于互聯網基礎行業,其與域名、主機服務和網絡安全一樣是構成目前互聯網安全與信任體系的支柱。
從法律上說,在國內要經營數字認證業務,必須通過國家工業與信息化部的批準,而目前國內具備這種資格的公司僅有20余家,其中絕大部分是地方CA,僅有北京天威誠信電子商務服務有限公司(天威誠信數字認證中心)等少數幾家CA機構具有全國運營的能力。
那么,這些沒有資質的公司頒發的數字證書會帶來什么問題呢?數字證書并不是一種單純的商品,它是一整套互聯網信任體系的具體表現形式,其背后除了需要強大的技術支撐外,更需要來自操作系統、瀏覽器廠商的支持,尤其是需要一套專業、完整、嚴謹、公正的鑒證服務體系。沒有這些,數字證書不過是一個簡單的程序,它就和我們現實生活中“東南亞辦證集團”辦理的各類證書一樣,不具備任何可信度和法律保障。如果放任這類非授權CA機構頒發的數字證書,那么將會讓惡意軟件橫行,互聯網信任體系崩潰,進而讓互聯網無法承載任何權威信息傳播和電子交易。
一些不規范的證書大部分有兩種來源,一種是自己開發的數字證書,他們沒有操作系統和瀏覽器根內置,不被操作系統和瀏覽器信任,會頻繁報錯。這類證書并不可怕,另外一種是從國外CA廠商購入的數字證書,經過重新技術和市場的包裝,再以知名證書品牌的名義向市場兜售,而且價格低得驚人。這類證書可以輕易繞過操作系統和瀏覽器,給用戶帶來不可挽回的重大損失。
那么我們應該如何識別數字證書,我們又該信任哪些數字證書呢?數字證書的種類很多,我們無法一一闡述,以這次曝光嚴重的代碼簽名證書和SSL服務器證書來看,無論是用戶還是網站、軟件公司的采購人員,都需要注意以下幾點:
選擇國際知名的產品,這些產品在全球通用,獲得全球信任保障體系的支撐,如Verisign(國內的銀行基本上都是用這個牌子的證書)、Geotrust、Thawte(google用的這個)等品牌;
選擇這些品牌在國內的授權代理機構購買,這些授權機構基本上都是國家批準的CA中心,他們具有完善、專業的鑒證流程和團隊,是數字證書可信度的基本保障,如Verisign在國內的首要合作伙伴天威誠信;
不要因為低廉的價格而選擇一些沒有資質的公司和其所頒發的數字證書,貪一時的小便宜將會對公司、產品的信任度帶來極大的危害;用戶在安裝軟件的過程中一定要學會識別數字證書和數字簽名,避免安裝一些沒有數字證書或數字證書不可信的軟件產品,給自己帶來損失。
經過十年的發展,中國互聯網行業煥發出前所未有的活力和生機,而互聯網的信任環境又非常脆弱。網絡誠信環境的建設需要來自各方的共同努力,尤其是相關安全、信任服務廠商的自律。
【編輯推薦】
