如今,越来越多的网站开始选择申请SSL证书来保护用户的隐私和数据安全,而免费SSL证书的出现让许多网站运营者开心了一下,但是这份免费午餐真的占到便宜了吗?
免费的SSL证书通常会通过程序自动与申请人或机构信息以及所申请的域名信息进行匹配,只要匹配一致,无需人工审核即可获得证书。这种类型的证书只能验证域名的所有权,而不能验证组织,即不能验证服务器的身份,从而留下很大的安全漏洞和隐患。
黑客可以通过验证域名信息来轻松获得证书,从而为自己披上看似可信的外衣。此时https仍然可以起到加密传输的作用,但是信息传输的目的已经从真实的网站服务器变成了黑客的“钓鱼”服务器。信息加密就像皇帝的新衣,让黑客很容易从用户那里获取敏感信息。
除了黑客的“钓鱼”风险之外,免费SSL证书的使用还有许多限制。
例如,免费证书只能绑定一个域名,不支持通配符域名。同样,这种“免费午餐”相关服务也将大打折扣。大多数免费的SSL证书是由用户自己安装的,不提供后期服务和技术支持,当证书遇到问题时也不能及时得到解决。另外,一些品牌的免费SSL证书有效期太短,需要三个月更新一次。过期后,许多用户很容易忘记续期。
因此,在目前免费证书身份验证机制不完善的情况下,为了用户和网站自身的安全,建议管理员避免使用免费的SSL证书,特别是对于大型企事业单位网站和涉及用户隐私和金融交易的电商平台,更不能选择“免费午餐”。
一般来说,虽然免费SSL证书的申请过程很简单,但它只支持加密功能,不能验证服务器的身份。由此造成的潜在威胁相对较大,不推荐企业使用。