电子商务之所以蓬勃发展,是因为人们能够使用适当的工具在网上进行安全的交易,这些工具是公钥加密和数字证书。
公钥加密使用SSL(安全套接字层)加密客户计算机与电子商务网站之间的所有数据,信息以加密的形式使用站点的公钥发送到站点。在收到信息后,站点使用私钥来解密信息,这称为密钥对。
数码证书是受信任的电子身分证,可将网站的公开密码匙与身分证的身份连结,以取得公众信任。数字证书是由独立的,公认的和相互信任的第三方颁发,该第三方称为证书颁发机构(CA)。没有数字证书,几乎无法保证特定网站的合法性。
数字证书包含实体的名称、地址、序列号、公钥、过期日期和数字签名等信息。当Firefox、谷歌或Internet Explorer之类的Web浏览器进行安全连接时,数字证书会自动提交以供审查。
浏览器会检查异常或问题,如果发现异常或问题,就会弹出警告。当数字证书就绪时,浏览器将完成不间断的安全连接。
网络钓鱼诈骗复制一个网站并“劫持”该网站的数字证书以欺骗客户放弃个人信息的案例并不少见,这些骗局涉及将客户重定向到真正的站点进行身份验证,然后将他们带回被欺骗的站点。
其他网络钓鱼诈骗使用自签名数字证书来处理受信任的第三方或证书颁发机构,数字证书的发行者和签名者是同一个人。在这种情况下,浏览器会发出警告,但大多数用户还是会点击,不理解其中的区别。
数字证书在保障电子商务安全方面发挥着不可或缺的作用,如果浏览器提醒数字证书有问题,最好不要点击它。并不是所有的证书颁发机构都是平等的,有些ca较新,知名度较低。VeriSign和Thawte是两个高度可信的ca。如果浏览器不识别证书颁发机构,将显示警告。