迅通诚信 - 为什么Yahoo!、IBM选择GeoTrust SSL证书

您访问的是老版本网站，请点击这里浏览新版网站。

	\| 臺灣 \| English \| 如何付款 \| 联系我们

GeoTrust SSL证书： 安全站点加密、电子商务护航、品牌形象提升。

	购买证书
	解决方案
	代理商

GeoTrust SSL证书
单域名系列

• 全球信SSL专业版
QuickSSL Premium

• 全球信SSL企业版
True BusinessID

• 全球信SSL至尊版
True BusinessID EV

GeoTrust SSL证书
多域名系列

• 全球信SSL至尊版
－多域名证书
EV Multidomain

• 全球信SSL企业版
－通配符证书
TBID WildCard

• 全球信SSL企业版
－多域名证书
TBID Mulitdomain

GeoTrust Anti-Malware
• 网站反恶意软件扫描

Symantec证书系列

• Secure Site
• Secure Site Pro
• Secure Site EV
• Secure Site Pro EV

闪快SSL证书系列

• 闪快SSL普及版
RapidSSL

代码签名证书系列

• Symantec系列
微软可信代码签名证书
JAVA可信代码签名证书

• Thawte系列
微软可信代码签名证书
JAVA可信代码签名证书

免费试用

• 免费SSL试用版
FreeSSL

联系我们

地址：上海市延安西路1538号6号楼1层。
电话：021-52582199
传真：021-39652308

-2008年7月18日

Yahoo!、IBM等知名大企业从2004年开始全面部署GeoTrust全球信SSL数字证书，每年采购上百张SSL证书为自己的服务器加密。为什么他们都选择GeoTrust 全球信产品 ?

我们先分析一下GeoTrust SSL数字证书优势：

1、GeoTrust SSL数字证书比 Verisign SSL数字证书更实用

• 1999年以前发布的浏览器仅内置了Verisign等少量根证书，其内置的Verisign根证书已于2004年1月过期(资料)。由于Verisign旧根证书过期，因此，您目前获取的Verisign证书是无法兼容1999年以前发布的浏览器。Verisign在1999年更新其根证书有效期的同时，GeoTrust的根证书也被内置到浏览器中。因此，GeoTrust证书的浏览器兼容性与Verisign是一致的。(GeoTrust 兼容浏览器清单)

• GeoTrust SSL证书与Verisign SSL证书都支持128位高加密级别。

• GeoTrust 提供通配符证书，一个证书可以同时支持多个子域名；Verisign不提供此类证书，用户必须购买多张证书。

• GeoTrust SSL数字证书丢失后，用户可以免费自助重发。

2、GeoTrust SSL数字证书，申请更方便，价格更便宜

• Verisign证书申请繁琐，需递交很多书面资料，申请周期长。GeoTrust提供QuickSSL快速申请，1个工作日内颁发(最快仅10分钟)。

• Verisign证书价格昂贵，128位证书8000元/年；GeoTrust QuickSSL专业版128位/256位证书仅1980元/年，3年促销价仅3465元。

3、GeoTrust SSL数字证书是单根证书，安装更方便，访问速度更快

GeoTrust SSL数字证书是CA根证书“Equifax Secure Certificate Authority”直接签发，而Verisign在中国颁发的SSL数字证书都是由CA根证书“Class 3 Public Primary Certification Authority”签发了CA中间证书“www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD”，再由CA中间证书级联签发SSL数字证书。

GeoTrust SSL示例 - CA根证书直接签发 (单根SSL数字证书)

Verisign SSL示例 - CA中间证书间接签发 (级联SSL数字证书)

• 单根SSL数字证书安装方便，只需在服务器上安装SSL证书即可；而级联SSL数字证书除了在服务器上安装SSL证书外，还需要安装CA中间证书。如果您使用版本稍旧的Web服务器，可能内置的是Verisign过期CA证书，替换工作十分复杂。农业银行曾经在2004年购买过Verisign证书用于网上银行交易，但由于没有更新Web服务器上的过期CA证书，用户访问时仍然出现安全警告，造成客户对网上交易安全怀疑。如果采用单根SSL数字证书就不会发生类似情况。

• 单根SSL数字证书在实际使用时速度更快。

(1) 对于级联证书，在每次SSL握手时，HTTPS服务器都会把根证书、CA中间证书、SSL服务器证书都传送到客户端，每个证书一般2－3KB，3个证书有8－9KB。当你浏览SSL页面时，会经常建立SSL链接，每次连接都多好几KB，速度自然慢，在使用GPRS、CDMA1x、Modem上网时尤为突出。

(2) 在每次SSL握手时，IE都会校验所有证书，而RSA1024/2048位校验所需的时间长，因此级联证书要比单根证书校验速度更慢。

(3) 每个证书都有CRL(证书吊销清单)文件，级联证书的CRL文件数量要比单根证书的CRL文件数量多。IE在SSL握手时，需要下载所有证书的CRL文件，国际证书的CRL文件都保存在国外，速度就更慢。

当IE完成以上3步后，才会显示页面。因此，用级联证书加密网站的访问速度要比单根证书加密的网站慢。

• 级联SSL数字证书要比单根SSL数字证书更加容易受到攻击。
这是由Internet Explorer的漏洞所造成的问题。证书有3类，(1) CA根证书；(2) CA中间证书：由根证书签发，并可以签发别人的证书；(3)普通证书：由根证书或者中间证书签发，只能使用，不能签发其它的证书。Internet Explorer在处理CA中间证书时没有判断其是否具有CA权限。因此，使用特殊软件可以将普通证书冒充CA证书对任意证书进行非法签发，有此漏洞的Internet Explorer不会发现。即使最新版本的Internet Explorer 6.0 Service Pack 1，如果没有安全升级，也有可能存在这样的漏洞，但这种攻击方法不会影响单根SSL数字证书。(资料：http://www.microsoft.com/technet/security/bulletin/MS02-050.mspx)
(注： Verisign在美国颁发的SSL证书都是单根SSL数字证书)

4、市场份额的变化

Verisign市场份额从1996年的99%降至2005年底的37%，GeoTrust 的市场份额从2001年的3%提升到了2005年底的30%。根据2006年最新的调查，GeoTrust 的市场份额已经达到35%。
综上所述，Yahoo!、IBM、联想集团等知名大企业都放弃原先CA转为使用GeoTrust 的全球信SSL数字证书，也不足为奇。