|
|
Yahoo!、IBM等知名大企业从2004年开始全面部署GeoTrust全球信SSL数字证书,每年采购上百张SSL证书为自己的服务器加密。为什么他们都选择GeoTrust 全球信产品 ?
我们先分析一下GeoTrust SSL数字证书优势:
• | 1999年以前发布的浏览器仅内置了Verisign等少量根证书,其内置的Verisign根证书已于2004年1月过期(资料)。由于Verisign旧根证书过期,因此,您目前获取的Verisign证书是无法兼容1999年以前发布的浏览器。Verisign在1999年更新其根证书有效期的同时,GeoTrust的根证书也被内置到浏览器中。因此,GeoTrust证书的浏览器兼容性与Verisign是一致的。(GeoTrust 兼容浏览器清单) |
• | GeoTrust SSL证书与Verisign SSL证书都支持128位高加密级别。 |
• | GeoTrust 提供 通配符证书,一个证书可以同时支持多个子域名;Verisign不提供此类证书,用户必须购买多张证书。 |
• | GeoTrust SSL数字证书丢失后,用户可以免费自助重发。 |
• | Verisign证书申请繁琐,需递交很多书面资料,申请周期长。GeoTrust提供QuickSSL快速申请,1个工作日内颁发(最快仅10分钟)。 |
• | Verisign证书价格昂贵,128位证书8000元/年;GeoTrust QuickSSL专业版128位/256位证书仅1980元/年,3年促销价仅3465元。 |
GeoTrust SSL数字证书是CA根证书“Equifax Secure Certificate Authority”直接签发,而Verisign在中国颁发的SSL数字证书都是由CA根证书“Class 3 Public Primary Certification Authority”签发了CA中间证书“www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD”,再由CA中间证书级联签发SSL数字证书。 |
|
GeoTrust SSL示例 - CA根证书直接签发 (单根SSL数字证书)
|
|
Verisign SSL示例 - CA中间证书间接签发 (级联SSL数字证书)
|
• | 单根SSL数字证书安装方便,只需在服务器上安装SSL证书即可;而级联SSL数字证书除了在服务器上安装SSL证书外,还需要安装CA中间证书。如果您使用版本稍旧的Web服务器,可能内置的是Verisign过期CA证书,替换工作十分复杂。农业银行曾经在2004年购买过Verisign证书用于网上银行交易,但由于没有更新Web服务器上的过期CA证书,用户访问时仍然出现安全警告,造成客户对网上交易安全怀疑。如果采用单根SSL数字证书就不会发生类似情况。 |
• | 单根SSL数字证书在实际使用时速度更快。
(1) 对于级联证书,在每次SSL握手时,HTTPS服务器都会把根证书、CA中间证书、SSL服务器证书都传送到客户端,每个证书一般2-3KB,3个证书有8-9KB。当你浏览SSL页面时,会经常建立SSL链接,每次连接都多好几KB,速度自然慢,在使用GPRS、CDMA1x、Modem上网时尤为突出。 |
(2) 在每次SSL握手时,IE都会校验所有证书,而RSA1024/2048位校验所需的时间长,因此级联证书要比单根证书校验速度更慢。 |
(3) 每个证书都有CRL(证书吊销清单)文件,级联证书的CRL文件数量要比单根证书的CRL文件数量多。IE在SSL握手时,需要下载所有证书的CRL文件,国际证书的CRL文件都保存在国外,速度就更慢。 |
当IE完成以上3步后,才会显示页面。因此,用级联证书加密网站的访问速度要比单根证书加密的网站慢。 |
|
• | 级联SSL数字证书要比单根SSL数字证书更加容易受到攻击。
这是由Internet Explorer的漏洞所造成的问题。证书有3类,(1) CA根证书;(2) CA中间证书:由根证书签发,并可以签发别人的证书;(3)普通证书:由根证书或者中间证书签发,只能使用,不能签发其它的证书。Internet Explorer在处理CA中间证书时没有判断其是否具有CA权限。因此,使用特殊软件可以将普通证书冒充CA证书对任意证书进行非法签发,有此漏洞的Internet Explorer不会发现。即使最新版本的Internet Explorer 6.0 Service Pack 1,如果没有安全升级,也有可能存在这样的漏洞,但这种攻击方法不会影响单根SSL数字证书。(资料:http://www.microsoft.com/technet/security/bulletin/MS02-050.mspx)
(注: Verisign在美国颁发的SSL证书都是单根SSL数字证书) |
Verisign市场份额从1996年的99%降至2005年底的37%,GeoTrust 的市场份额从2001年的3%提升到了2005年底的30%。根据2006年最新的调查,GeoTrust 的市场份额已经达到35%。 |
综上所述,Yahoo!、IBM、联想集团等知名大企业都放弃原先CA转为使用GeoTrust 的全球信SSL数字证书,也不足为奇。
|
| |