您访问的是老版本网站,请点击 这里 浏览新版网站。
          |  臺灣  |  English  |  如何付款  |  联系我们
 
  GeoTrust SSL证书: 安全站点加密、电子商务护航、品牌形象提升。  
     购买证书
     解决方案
     代理商

为什么Yahoo!、IBM选择全球信SSL数字证书
 
-2006年7月18日
 

Yahoo!、IBM等知名大企业从2004年开始全面部署GeoTrust全球信SSL数字证书,每年采购上百张SSL证书为自己的服务器加密。为什么他们都选择GeoTrust 全球信产品 ?

我们先分析一下Verisign公司旗下两大品牌证书GeoTrust品牌与Verisign品牌证书之间的区别:

1、GeoTrust品牌数字证书 与 Verisign品牌数字证书 一样实用
1999年以前发布的浏览器仅内置了Verisign等少量根证书,其内置的Verisign根证书已于2004年1月过期(资料)。由于Verisign旧根证书过期,因此,您目前获取的Verisign证书是无法兼容1999年以前发布的浏览器。Verisign在1999年更新其根证书有效期的同时,GeoTrust的根证书也被内置到浏览器中。因此,GeoTrust品牌证书的浏览器兼容性与Verisign品牌证书是一致的。(GeoTrust 兼容浏览器清单)
GeoTrust品牌SSL证书与Verisign品牌SSL证书都支持128位/256位高加密级别。
GeoTrust提供 通配符证书,一个证书可以同时支持多个子域名;Verisign不提供此类证书,用户必须购买多张证书。

2、GeoTrust品牌的SSL数字证书,申请更方便,价格更便宜
Verisign品牌证书申请繁琐,需递交很多书面资料,申请周期长。GeoTrust提供QuickSSL快速申请,1个工作日内颁发(最快仅10分钟)。
Verisign品牌证书价格昂贵,128位证书8000元/年;GeoTrust品牌的QuickSSL专业版128位/256位证书仅1980元/年,3年促销价仅3465元。

3、GeoTrust品牌的SSL数字证书提供免费自助重发服务
服务器发生故障,或者软件故障重新安装操作系统,都可能导致证书丢失。
Verisign品牌证书仅30天内可以免费重发;30天后每次重发收取1000元人民币。
GeoTrust品牌证书在有效期内,用户可以免费自助重发证书,网管不必担心证书丢失。

4、GeoTrust品牌的SSL数字证书有效期更长,一次安装多年使用
Verisign品牌证书有效期仅1年,即使你一次购买多年,也必须每年更换一次证书。
GeoTrust品牌证书有效期最长可到6年,安装后可以使用多年,不必每年更换。
服务器上安装/更新SSL证书是需要专业技术人员才能完成的工作,更新证书可能会中断网站数分钟,如果你希望网站不中断服务,或者系统是第三方开发或实施,建议一次购买多年,以避免更新证书所带来的麻烦。

5、GeoTrust SSL数字证书是单根证书,安装更方便,访问速度更快
GeoTrust SSL数字证书是CA根证书“Equifax Secure Certificate Authority”直接签发,而Verisign品牌在中国颁发的SSL数字证书都是由CA根证书“Class 3 Public Primary Certification Authority”签发了CA中间证书“www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD”,再由CA中间证书级联签发SSL数字证书。

GeoTrust SSL示例 - CA根证书直接签发 (单根SSL数字证书)

Verisign SSL示例 - CA中间证书间接签发 (级联SSL数字证书)

单根SSL数字证书安装方便,只需在服务器上安装SSL证书即可;而级联SSL数字证书除了在服务器上安装SSL证书外,还需要安装CA中间证书。如果您使用版本稍旧的Web服务器,可能内置的是Verisign过期CA证书,替换工作十分复杂。农业银行曾经在2004年购买过Verisign证书用于网上银行交易,但由于没有更新Web服务器上的过期CA证书,用户访问时仍然出现安全警告,造成客户对网上交易安全怀疑。如果采用单根SSL数字证书就不会发生类似情况。
单根SSL数字证书在实际使用时速度更快。
(1) 对于级联证书,在每次SSL握手时,HTTPS服务器都会把根证书、CA中间证书、SSL服务器证书都传送到客户端,每个证书一般2-3KB,3个证书有8-9KB。当你浏览SSL页面时,会经常建立SSL链接,每次连接都多好几KB,速度自然慢,在使用GPRS、CDMA1x、Modem上网时尤为突出。
(2) 在每次SSL握手时,IE都会校验所有证书,而RSA1024/2048位校验所需的时间长,因此级联证书要比单根证书校验速度更慢。
(3) 每个证书都有CRL(证书吊销清单)文件,级联证书的CRL文件数量要比单根证书的CRL文件数量多。IE在SSL握手时,需要下载所有证书的CRL文件,国际证书的CRL文件都保存在国外,速度就更慢。
当IE完成以上3步后,才会显示页面。因此,用级联证书加密网站的访问速度要比单根证书加密的网站慢。
级联SSL数字证书要比单根SSL数字证书更加容易受到攻击。
这是由Internet Explorer的漏洞所造成的问题。证书有3类,(1) CA根证书;(2) CA中间证书:由根证书签发,并可以签发别人的证书;(3)普通证书:由根证书或者中间证书签发,只能使用,不能签发其它的证书。Internet Explorer在处理CA中间证书时没有判断其是否具有CA权限。因此,使用特殊软件可以将普通证书冒充CA证书对任意证书进行非法签发,有此漏洞的Internet Explorer不会发现。即使最新版本的Internet Explorer 6.0 Service Pack 1,如果没有安全升级,也有可能存在这样的漏洞,但这种攻击方法不会影响单根SSL数字证书。(资料:http://www.microsoft.com/technet/security/bulletin/MS02-050.mspx)

(注: 在美国颁发的Verisign品牌SSL证书都是单根SSL数字证书)

6、市场份额的变化
Verisign品牌证书市场份额从1996年的99%降至2005年底的37%,GeoTrust品牌的市场份额从2001年的3%提升到了2005年底的30%。根据2007年最新的调查,GeoTrust品牌的市场份额已经达到35%。

综上所述,Yahoo!、IBM、联想集团等知名大企业都放弃原先CA转为使用GeoTrust 的全球信SSL数字证书,也不足为奇。