关于提高EV SSL证书安全性的四条建议

近日，DigiCert作为CA机构的领头者，与其他几个证书颁发机构合作，率先提出了关于增强EV SSL证书身份验证的四条建议，以提高EV SSL证书的安全性。那么，为什么网络身份如此重要？DigiCert的建议将如何帮助客户呢？本文将逐一为您解答。

为什么网络身份如此重要？

互联网上充斥着很多网络犯罪分子，他们从事着不合法的活动，比如网络钓鱼、网上诈骗等等。这就是为什么大多数互联网用户对网络另外一端他们不了解的人以及网站持怀疑态度了。通常，我们都想知道在网上与我们互动的人和公司的真实身份，这样才能消除怀疑和担心，以防自己上当受骗。

在这如此复杂且又有不法分子制造种种麻烦的互联网环境中， EV SSL证书是一个很棒的工具。用户可以用它来查看网站的身份，帮助他们分析网站所有者是否是一个真实存在的合法实体，有助于增加用户的安全感和对网站的信任度。这就是为什么DigiCert建议增强EV SSL 证书身份验证的步骤，以保证它的安全性，也希望能更好地保障网站的网络安全。

DigiCert从4个方面提出了增强EV SSL证书安全性的建议

DigiCert提出了四种提高对EV SSL证书认证的CA/B论坛标准的具体方法。这些新的标准将使EV SSL证书变得更强大，并且能解决安全研究人员指出的一些“弱点”。让我们逐一分析，看看它们将如何帮助所有人实现网络身份识别：

1.  通过CAA记录执行验证级别

通过DNS机制创建CAA记录，从而限定了特定域名颁发的证书和CA（证书颁发机构）之间的联系。从此，再也不能是任意CA都可以为任意域名颁发证书。所以，通过CAA记录，可让网站管理员限制哪些CA可以为其域名颁发证书。这是对抗影子IT证书的绝佳工具——确保组织的证书得到集中管理和授权。

但是当前CAA记录只能指定证书颁发机构。DigiCert提议扩展CAA记录，以便网站管理员可以控制或限制可以为其域名颁发的证书的验证级别。例如，网站管理员可以将其域名限制为仅从某个CA颁发EV SSL证书。

我们举例说明一下。假设example.com网站雇了一名网页设计师，让他以2020年全新的版面的设计来更新网站博客。注意，该设计师无权为该域名颁发SSL证书。但是，假设这名设计师安装了WordPress文件编辑器插件，他就可以完成对该域名的验证并签发SSL证书。那么example.com就部署且使用了未经CA授权颁发的SSL证书，网站管理员也无法掌握该证书或私钥，这是一个重大的安全问题。

如果example.com执行了将域名限制为仅使用来自DigiCert CA的EV SSL证书的CAA记录，那么其他人员将无法获得该证书的颁发，因为想要获取未经CAA记录标识的证书都将以失败告终。

2.  将全球法人识别编码 (LEI)运用到 EV SSL 证书

LEI是全球法人识别编码，是按照国际标准化组织ISO 17442标准为全球法人分配的唯一识别编码，旨在加强全球范围内对法人身份的识别。

如果将LEI编码应用到EV SSL证书中，那些让人混淆以欺骗用户的单位名将无处躲藏。那如何使用LEI编码呢？这里介绍两种方法。一种是：浏览器可以用LEI编码生成相关的信息。当然，可能需要一个附加的调用。另一种是：您可以直接单击LEI编码，然后到其数据库中查看对应的信息。

将LEI编码里有关企业组织的附加信息添加到EV SSL证书中，可使用户直接了解公司的具体信息。

如果您在LEI数据库中查找某公司，可获得包含有关该组织的许多详细信息的报告。如下图：

甚至还可查到有关子公司的信息：

所以说，这些信息数据已为解决企业身份验证做好了充足的准备，就像EV SSL证书一样，基础设施已准备就绪，完全可以作为EV SSL证书身份验证的数据点。为什么不考虑LEI编码来解决这个明显的问题？

3.  指定EV SSL验证的标准化数据源

在当前的EV证书准则下，每个CA自行决定将使用哪些数据源来验证EV SSL证书中的组织详细信息。但是，CA验证的是来自数百个国家的企业组织，不同国家使用的数据源质量可能存在很大的差异。DigiCert建议CA/B论坛指定一个可在EV证书验证过程中使用可接受的标准化数据源。

使用标准化的数据源可以提高企业验证的一致性和速度，弥补一些行为不端的人制造出来的潜在差距，同时还是用作处理命名冲突的基础。

4.  EV SSL证书验证过程中同时进行商标验证

由于EV SSL证书旨在向用户显示他们正在访问的网站的企业身份是确认经过CA验证授权，用户可以放心安全使用。那么加上商标也是合乎逻辑的。正如DigiCert的Dean Coclin所说的：

“大家都熟知商标，它是独一无二的，并且可以验证。用户可以识别商标，因此，如果浏览器在其UI中包含显示该商标，那么用户可以放心访问该网站，因为该商标是已验证过的。如果不包含商标，那么证书机构肯定会对此进行审查。”

对于用户来说，商标是另一种用来确认用户进行互动的公司与他们所想的公司是同一个的方式。例如，Windex是SC Johnson公司拥有的一个商标。但许多用户可能不知道Windex品牌实际上是SC Johnson旗下的品牌。在当前的EV证书准则下，向用户展示的企业信息只能说是SC Johnson。然而，如果他们的EV SSL证书显示Windex商标，那么可能会帮助到用户更加坚信他们访问的官方网站就是和预想的网站一致。

以上这四个想法建议还需经过CA/B论坛讨论制定出新的EV SSL证书准则才能得以实施，不过作为证书领先品牌的DigiCert率先提出这个议案，希望为广大用户及时解决网络身份问题。

注：本篇是锐成信息平台根据DigiCert的相关资料汇编而成。如有其他问题，欢迎咨询在线客服。