上經過ssl加密的網站,為什麼有的顯示公司名,有的不顯示?
安全程度不一樣導致的。
HTTPS連接在啟動時需要獲得公司的證書信息,以驗證網站和運營公司的合法性。兩種證書的區別在於帶綠色公司名情況下,網站使用的其實是一種叫做Extended Verification Certificate(以下稱為EV)的特殊類型證書。它和標準證書的主要區別是添加了Certificate Policies 擴展。這個擴展主要包括如下幾個屬性:- Certificate Policies, OID = 2.5.29.32,啟動擴展驗證。
- User Notice:這裡會給出一個ASN.1編碼的網站和運營公司的身份信息。注意:這個屬性可以不存在。
- CPS URI:指向一個包含該公司合法性驗證信息的鏈接。
需要注意的是,瀏覽器不一定保證對每個啟動EV的網站都使用綠色公司名標示符。比如https://bitbucket.org,主頁上就顯示公司名,而登錄後則不顯示,但實際上通過比對證書指紋(fingerprint),兩者應該是用的同一份證書。具體的原因尚不清楚。另外,老版本的瀏覽器也可能不支持這個擴展。
無論是不是使用EV擴展,證書的Subject Name都可以為空。即使是不使用EV的證書,它也可以用來驗證網站的合法性。驗證的方法主要是比對網站的DNS全名和Common Name或者Subject Alternative Name是否匹配。這種簡單比對的安全性基礎是通過證書頒發機構(CA)保證的,即CA簽發證書時就需要確認證書提交人確實擁有指定的網站。證書提交人如果為別人擁有的網站提交證書申請而CA還頒發了,那麼這個CA本身就是有問題的。
EV本身和加密強度倒確實無關。它取決於公鑰的長度。
至於為什麼不是每個網站都使用EV,主要原因是兩個:- 帶EV的證書比較貴。因為證書籤發機構在發放這種證書之前需要檢查該網站和運營公司的合法性,帶EV的需要提交更多的證明材料,成本比較高。
- 帶EV的證書不能使用通配符。Wikipedia提到了這一句但不曾解釋原因。我的理解是因為此類證書綁定的User Notice需要同時綁定公司和DNS名導致的。這使得EV證書不能用於分散式系統。因為分散式系統中每個節點在互聯網上的機器DNS名都可能不一樣。
對比:https://bitbucket.org,和 https://www.google.com。用Chrome的同學對比一下就知道。
參考資料:
http://en.wikipedia.org/wiki/Extended_Validation_Certificate
http://www.digicert.com/docs/cps/DigiCert_EV-CPS.pdf
================
以下回答是第一遍的說法,內容是錯誤的。掉以輕心果然弄錯了。留下做個紀念。以為不認真者戒。
================
HTTPS連接在啟動時需要獲得公司的證書信息。帶公司名的SSL鏈接得到的證書中包含Subject Name,可以用來驗證該網站的身份合法性。不帶公司名的SSL鏈接得到的證書中不包含Subject Name,所以無從知曉該網站是否是我們希望的那個網站。
有沒有Subject Name和網站的加密強度無關。加密強度取決於證書中給出的公鑰長度。Subject Name的主要作用是驗證伺服器端身份,防範利用合法的證書實施中間人和釣魚攻擊。
用Chrome的同學們可以點擊那個綠色的鎖標記,在彈出窗口上點擊Certficate Information 按鈕。Chrome瀏覽器會給出彈出窗口,就能看到證書的Subject Name了。
一般來說,網站不會總是使用帶Subject Name的證書。因為證書籤發機構在發放這種證書之前需要檢查該網站和運營公司的合法性,成本比較高。不帶Subject Name的證書會比較便宜。所以通常網站會混合使用兩種證書。如果之前的頁面已經驗證過網站身份,然後跳轉到一個目的只是加密的頁面,則不需要Subject Name。比較典型的例子就是Google自己的帳戶頁面。EV的就會顯示
簡單來說就是證書類型不一樣,CA在頒發證書的時候,都會嚴格審核證書申請者的真實信息,不同類型的證書,證書的展現形式也不一樣,對證書申請者的驗證方式也不一樣,根據申請者的需求,有相對應的證書類型,現在一般的銀行、金融等都是採用的最高級別的證書,地址欄可以直線顯示公司名稱,這樣消費者在瀏覽網站的時候,可以一眼辨別網站的真假,這也是未來電商網站的整體趨勢。
申請一個EV的就可以了
這就是ssl證書的dv證書 ov證書 ev證書的區別。
推薦閱讀:
※如何評價《Why I stopped using StartSSL》的評論?
※在印象筆記中可以安全的保存很私密的信息嗎?