国内知名安全软件厂商360安全卫士在2009年12月30日发出警报,目前国内某些公司颁发的数字证书为木马程序签名,从而使木马程序绕过防火墙和安全软件的检测,对用户带来极大危害。此言一出,引起国内各方的强烈反响和激烈争论。
争论总体来自三个方面。一方面是用户,大多数用户对数字证书的了解不多,但至少都知道数字证书和数字签名是一种安全和信任的表示,如果数字证书和数字签名都不能相信,那么我们在互联网上如何识别恶意软件和网站呢?另一方面来自安全软件厂商,绝大多数安全软件厂商都会采用数字证书对自己的软件进行签名,一来是未来保护自己的著作权不被侵犯,二来是为了塑造在用户心中的信任感。但如果数字签名不可信,那么软件市场就会陷入一个“劣币驱除良币”的局面,大量优质软件和可信程序会因为少数恶意软件对用户的侵害,也丧失用户的信任。第三方面是权威的数字认证中心,他们是数字证书的颁发机构。对于360安全卫士的指责他们大多感到很无奈,毕竟是极个别没有资质的厂商颁发的数字证书造成了这种局面,而这对整个行业的可信度都产生了极坏的影响。问题的焦点在于,“热键科技(深圳)有限公司”和“深圳市沃通电子商务服务有限公司”究竟是谁,他们是否能代表整个数字认证行业,他们的行为是如何产生的,会对用户和软件厂商带来怎样的危害?
据笔者了解,数字认证行业(CA)属于互联网基础行业,其与域名、主机服务和网络安全一样是构成目前互联网安全与信任体系的支柱。从法律上说,在国内要经营数字认证业务,必须通过国家工业与信息化部的批准,而目前国内具备这种资格的公司仅有20余家,其中绝大部分是地方CA,仅有北京天威诚信电子商务服务有限公司(天威诚信数字认证中心)等少数几家CA机构具有全国运营的能力——热键科技和沃通电子均不在此列。
那么,这些没有资质的公司颁发的数字证书会带来什么问题呢?数字证书并不是一种单纯的商品,它是一整套互联网信任体系的具体表现形式,其背后除了需要强大的技术支撑外,更需要来自操作系统、浏览器厂商的支持,尤其是需要一套专业、完整、严谨、公正的鉴证服务体系。没有这些,数字证书不过是一个简单的程序,它就和我们现实生活中“东南亚办证集团”办理的各类证书一样,不具备任何可信度和法律保障。如果放任这类非授权CA机构颁发的数字证书,那么将会让恶意软件横行,互联网信任体系崩溃,进而让互联网无法承载任何权威信息传播和电子交易。
热键科技和沃通电子颁发的证书大部分有两种来源,一种是自己开发的数字证书,他们没有操作系统和浏览器根内置,不被操作系统和浏览器信任,会频繁报错。这类证书并不可怕,真正可怕的是如沃通电子从国外濒临倒闭的CA厂商购入的数字证书,经过重新技术和市场的包装,再以知名证书品牌的名义向市场兜售,而且价格低得惊人。这类证书可以轻易绕过操作系统和浏览器,给用户带来不可挽回的重大损失。
那么我们应该如何识别数字证书,我们又该信任哪些数字证书呢?数字证书的种类很多,我们无法一一阐述,以这次曝光严重的代码签名证书和SSL服务器证书来看,无论是用户还是网站、软件公司的采购人员,都需要注意以下几点:
1、 选择国际知名的产品,这些产品在全球通用,获得全球信任保障体系的支撑,如Verisign(国内的银行基本上都是用这个牌子的证书)、Geotrust、Thawte(google用的这个)等品牌;
2、 选择这些品牌在国内的授权代理机构购买,这些授权机构基本上都是国家批准的CA中心,他们具有完善、专业的鉴证流程和团队,是数字证书可信度的基本保障,如Verisign在国内的首要合作伙伴天威诚信;
3、 不要因为低廉的价格而选择一些没有资质的公司和其所颁发的数字证书,贪一时的小便宜将会对公司、产品的信任度带来极大的危害;
4、 用户在安装软件的过程中一定要学会识别数字证书和数字签名,避免安装一些没有数字证书或数字证书不可信的软件产品,给自己带来损失。
经过十年的发展,中国互联网行业焕发出前所未有的活力和生机,而互联网的信任环境又非常脆弱。网络诚信环境的建设需要来自各方的共同努力,尤其是相关安全、信任服务厂商的自律。