只有部署 SSL 证书才能保护网上隐私信息安全

[align=center]

(发布时间：2009-3-18, 2009年第2号，总第68号) [/align]

[align=left]UPDATE: 此文内容刊登在《计算机世界》报(2009年04月06日第12期)，文章1：《 SSL证书，保护网上个人隐私 》，文章2：《部署SSL证书中的风险》。[/align][align=left] 今年中央电视台 315 晚会的一个重要话题之一是 如何保护网上个人隐私信息安全，非常切题，因为这个问题已经到了必须提出解决的办法的时候了。首先是从法律法规上来保护，尽快出台个人隐私信息保护法，当然包含网上个人隐私信息的保护，保护法应该要求所有网上信息服务提供者 ( 网上银行、网上证券、网上购物等等 ) 必须采取有效的技术措施才保护在线用户的机密信息传输安全。而这个有效的技术措施就是为网站服务器部署 SSL 证书，以确保在线用户输入的个人机密信息被加密传输和不会被非法截取。 [/align][align=left] [/align]

[align=left]1.为什么需要 SSL 证书 ? 怎样知道网站部署了 SSL 证书？ 安全锁标志是什么样的？ [/align] 大家都知道一句网上流行的名言和有名的漫画 “ 在网上,没人知道你是一只狗” ，一语道出了互联网的匿名特点，但这对于网上购物和电子商务来讲是危险的，因为您不能也不应该相信所访问的网站就是所称的某某公司 ( 某某品牌 ) 就是您心目中现实世界的某某公司 ( 某某品牌 ) ；同时，互联网所使用的 IP 技术就是明文传输所有信息，这样，就使得您在网站上提交的所有机密信息如果不采用任何加密措施的话，就很有可能其他任何人都能看到，因为从您的电脑到网站服务器要经过许多路由，有许多人都能接触到传输路由，都有可能非法截获甚至篡改您的机密交易信息 ( 特别是银行卡信息 ) 。以上两个安全问题就需要 SSL 证书来解决，具体体现在浏览器到地址栏上就是使用 https:// 来访问，而不是常用的 http:// 访问。 https 就是安全的 http 连接， s 就是 secure ，也就是说：如果您正在浏览的页面的浏览器地址栏的网址前面是 https:// 的话，就表明您在此网站上输入的任何信息都是从你的电脑上自动加密传输到网站服务器的。只要这样，才能保证您在网站上提交的机密信息不会被非法截获或非法篡改。 为了让用户有一个醒目的认识 ( 用户往往不留意是使用 http:// 还是使用 https://) ，所以浏览器就做了一个明显的安全锁标志，以 IE 浏览器为例，如下图 1 所示为 IE 6 版本浏览器的安全锁标志，是显示在状态栏的右下角，鼠标放在安全锁上面会显示目前采用的加密强度 ( 如图为 128 位加密长度 ) ：

[align=center] 如下图 2 所示为 IE 7 版本浏览器的安全锁标志，是显示在地址栏的右边，将大大方便用户查看：[/align]

[align=left]也就是说，如果您能使用 https:// 来访问某个网站，就表示此网站是部署了 SSL 证书。一般来讲，如果此网站部署了 SSL 证书，则在需要加密的页面会自动从 http:// 变为 https:// ，如果没有变，你认为此页面应该加密，您也可以尝试直接手动在浏览器地址栏的 http 后面加上一个英文字母 “ s ” 后回车，如果能正常访问并出现安全锁，则表明此网站实际上是部署了 SSL 证书，只是此页面没有做 https:// 链接；如果不能访问，则表明此网站没有部署 SSL 证书。 [/align][align=left]
2. 什么是 SSL 证书？ SSL 证书能起到什么作用？如何识别 SSL 证书是否工作正常？ [/align][align=left] 什么是 SSL 证书？ SSL 证书就是遵守 SSL 安全套接层协议的服务器数字证书。 SSL 安全协议最初是由美国网景 (NetScape) 公司设计开发的，全称为：安全套接层协议 (Secure Sockets Layer) ， 它指定了在应用程序协议 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制，它是在传输通信协议 (TCP/IP) 上实现的一种安全协议，采用公开密钥技术，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。由于此协议很好地解决了互联网明文传输的不安全问题，很快得到了业界的支持，并已经成为国际标准。 [/align][align=left] SSL 证书由浏览器中 “受信任的根证书颁发机构 ” 在验证服务器身份后颁发，具有网站身份验证和加密传输双重功能。点击安全锁标志，再点击“查看证书”就会显示证书主要信息 ( 证书目的、证书颁发者、证书颁发给、证书有效起始日期 ) ，如下图 3 所示： [/align]

[align=center] 再点击“详细信息”就会显示此证书的详细信息 ( 如：证书颁发者、证书主题、密钥用法、吊销列表 CRL 分发点、证书序列号等等 ) ，如下图 4 所示： [/align]

[align=center] 部署了 SSL 证书的网站正常情况下会自动显示安全锁标志，但 有些部署了 SSL 证书的网站会有不安全因素警告 ( 如下图 5 所示 ) ，表明此页面中含有指向其他没有部署 SSL 证书的页面，为了安全起见，建议您选择 “ 否 ” ，浏览器就不显示不安全的内容，这些内容一般都是 Flash 动画或 Java Script ，如果选择 “ 是 ” ，则浏览器不会显示安全锁标志。 [/align]

[align=center]对于 IE 浏览器，您可以浏览器的“工具” - “ Internet 选项” - “内容” - “证书”，就能看到 “ 受信任的根证书颁发机构 ” ，如下图 6 所示，表明 IE 浏览器能正常识别出这些证书颁发机构颁发的数字证书：[/align]

[align=center]而如果 SSL 证书不是由浏览器中 “ 受信任的根证书颁发机构 ” 颁发的，则浏览器会有安全警告，如图 7 所示为 IE7 浏览器的警告信息为 “ 此网站出具的安全证书不是受信任的证书颁发机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据，建议关闭此网页，并且不要继续浏览该网站。 ” 如图 8 所示为 IE6 浏览器会提示 “ 该安全证书由您没有选定信任的公司颁发 ” ： [/align]



[align=center] 如果是浏览器能识别的 SSL 证书，则接着就要检查此 SSL 证书中的证书吊销列表，如果此证书已经被证书颁发机构吊销，则会显示警告信息：“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”如下图 9 所示： [/align]

如果此证书没有被吊销，则接着会检查此 SSL 证书有效期，如果证书已经过了有效期，则一样会显示警告信息：“ 此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”如下图 10 所示：

如果此 SSL 证书是在有效期内，则检查部署此 SSL 证书的网站的域名是否与证书中的域名一致，如果不一致，则浏览器也会显示警告信息：“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”如下图 11 所示：

如果以上都没有问题， IE7 浏览器还会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单，如果是，则会显示：“ IE 已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。 建议关闭此网页，并且不要继续浏览该网站。 ”如下图 12 所示：

只有通过以上 5 个方面的检查都正常后，浏览器才会正常显示安全锁标志和正常显示部署了 SSL 证书的加密页面。
3. SSL 证书有哪几种？如何识别这几种 SSL 证书？ [align=left] 目前市场上支持各种浏览器的 SSL 证书主要有 4 种，一种是自适应加密强度的普通 SSL 证书，业界称为 “ 超真 SSL 证书 ” ，第二种是支持强制 128 位加密强度的增强型 SSL 证书，业界称为 “ SGC 超真 SSL 证书 ” ，两者不同在于加密强度的不同，所谓 “ 自适应加密强度 ” 是根据浏览器支持多少位的加密长度就按多少位加密 ( 如： 40 位、 56 位、 128 位、 256 位等 ) ，而强制 128 位加密强度是指无论什么版本浏览器都可以强制按照 128 位加密。 [/align][align=left] 第三种是一种简易版 ( 入门级 ) 的只最简单域名所有权验证的 SSL 证书，业界称为 “ 超快 SSL 证书 ” ，是为了降低成本，满足仅仅有加密需求的小型网站的需要，此证书也是自适应加密强度。 [/align][align=left]第四种是新推出的 EV SSL 证书，是全球统一严格身份验证标准的 SSL 证书，这此之前的 SSL 证书由于全球验证标准的不统一而使得欺诈网站也有可能申请到 SSL 证书而有安全锁标志。 [/align][align=left] SSL 证书有两个基本功能：网站身份验证和数据加密传输，对于电子商务网站来讲，经过权威第三方验证过网站的真实身份的证明，比加密信息本身更重要，因为一个不可信的网站 ( 或欺诈网站 ) 也可能有 https:// 安全锁标志 ( 主要原因是市场上有不验证网站实体身份，而只验证域名所有权的 SSL 证书 ) 。 所以，绝对不能认为：看到安全锁标志就认为此网站可信 ( 仅能保证机密信息是加密传输的 ) ，还要看此 SSL 证书是什么类型的证书，从而判断此网站是否真的是网站上所声称的现实世界的某个公司。 [/align][align=left] 首先，教大家如何识别 EV SSL 证书， IE 7 浏览器地址栏如果变成了绿色，则此 SSL 证书就是 EV SSL 证书，您也能确信此网站的真实身份是通过权威第三方严格身份验证的，真实身份是可信的，并且所有机密信息是加密传输的。如下图 13 所示，不仅地址栏为绿色，而且地址栏右边安全锁旁直接显示此网站的公司名称： [/align]

[align=center]而对于其他 3 种 SSL 证书，则地址栏都是白色。以 IE 7 为例，先点击地址栏右边的安全锁标志，再点击 “ 查看证书 ” ，再点击 “ 详细信息 ” ，再点击 “ 主题 ” ，如下图 14 所示，如果主题信息中的 “ O ” 字段 (O = ) 显示公司名称 ( 中文或英文 ) ，则表明此证书属于已经验证网站身份的超真 SSL 证书，如果没有 “ O ” 字段或 “ O ” 字段显示的是网站域名，则此证书属于只验证域名所有权的超快 SSL 证书，如下图 15 所示和图 16 所示。 [/align][align=left] WoSign 品牌的 “ 超真 SSL” 和 “SGC 超真 SSL” 、 VeriSign 品牌的 “Secure Site Pro” 和 "Secure Site" 、 Thawte 品牌的 “SGC SuperCerts” 和 “SSL Web Server” 、 GeoTrust 品牌的 “True Business ID” 都属于已经验证网站身份的超真 SSL 证书。 [/align][align=left] WoSign 品牌的 “ 超快 SSL” 、 Thawte 品牌的 “SSL 123” 、 GeoTrust 品牌的 “QuickSSL Premium” 和 “Power Server ID” 和 “RapidSSL” 都属于只验证域名所有权的超快 SSL 证书。 [/align]



[align=left] 最后是如何识别支持强制 128 位加密的 SGC 超真 SSL 证书，以 IE 7 为例，先点击地址栏右边的安全锁标志，再点击 “ 查看证书 ” ，再点击 “ 详细信息 ” ，往下找到 “ 增强型密钥用法 ” ，如下图 17 所示，一般的不支持 SGC 强制 128 位加密的 SSL 证书只有 “ 服务器验证 ” 和 “ 客户端验证 ” 两个用法，如下图 18 所示，而支持 SGC 强制 128 位加密的 SSL 证书除了有 “ 服务器验证 ” 和 “ 客户端验证 ” 两个用法，还有一个或两个 “ 未知密钥用法 ” ，同时请注意只能是 “ 未知密钥算法 (2.16.840.1.113730.4.1)” 和 / 或 “ 未知密钥算法 ( 1.3.6 .1.4.1.311.10.3.3)” ，有这两个密钥算法的 SSL 证书才是支持 SGC 强制 128 位加密的 SSL 证书。 WoSign 品牌的 “SGC 超真 SSL” 、 VeriSign 品牌的 “Secure Site Pro” 、 Thawte 品牌的 “SGC SuperCerts” 都属于支持强制 128 位加密的 SGC 超真 SSL 证书。 [/align][align=left] 请注意：由于用户使用的浏览器版本可能是支持 40 位、 56 位、 128 位等加密长度，所以，要保证 100% 用户都能实现高强度加密的话，一定要选择部署支持 SGC 强制 128 位加密技术的 SSL 证书，因为 40 位的加密强度几秒钟就能破解， 56 位也只需要几天时间。如果您的网站部署的是不支持 SGC 强制 128 位加密技术的 SSL 证书，则一定要提醒用户使用支持 128 位加密的浏览器 ( 如： IE 7 或升级后的 IE 6) 。 [/align]



[align=left]总之，市场上支持浏览器的 SSL 证书有 4 种，按可信程度排列为： EV SSL 证书、 SGC 超真 SSL 证书、超真 SSL 证书，最后才是超快 SSL 证书。由于超快 SSL 证书没有验证真实身份，仅验证域名所有权，证书主题中不显示公司名称，所以，要特别留意部署了此类证书的网站是否是您认为的现实世界的公司。 再次强调：您绝对不能认为：看到安全锁标志就认为此网站可信 ( 仅能保证机密信息是加密传输的 ) ，还要看此 SSL 证书是什么类型的证书，从而判断此网站是否真的是网站上所声称的现实世界的某个公司。 [/align]
4. SSL 证书目前国外和国内的使用现状和存在问题 4.1 国内外情况： SSL 证书从诞生到现在已经有 15 年的历史了， 1994 年 美国 RSA 公司设立全球第 1 个 CA( 数字证书颁发机构 ) ， 1996 年 1 月美国 VeriSign 公司和 南非 Thawte 公司相继设立商业 CA ，从此在欧美市场正式开始了商业部署，发展到 1999 年各占 60%/40% 市场分额。 1999 年底 /2000 年初 VeriSign 以 5.76 亿美元收购 Thawte ； 2000 年 /2001 年初 GeoTrust 成立， 2006 年 5 月被 VeriSign 以 1.25 亿美元收购，占 25% 市场分额；而 VeriSign 从 2000 年通过代理商进入中国市场，为银行、证券等机构颁发 SSL 证书， GeoTrust 和 Thawte 分别通过代理商于 2004 年和 2006 年进入中国市场。国内唯一一家支持所有浏览器的中国品牌的 SSL 证书颁发机构是 WoSign( 沃通 ) ，于 2006 年 10 月推出了系列 SSL 证书产品。 [align=left] 由于 SSL 证书能高效地加密网上机密信息，所以自推出以来就在欧美获得了大量部署，因为欧美各国早就有相应的个人隐私保护法律法规 ( 当然包括网上信息隐私保护 ) ，这就不难理解为何几乎 100% 美国政府网站、电子商务网站和著名的免费电子邮件服务提供商等等，凡是有需要用户登录的地方，几乎 都 部署了 SSL 证书，从而保护了用户在线输入个人机密信息和在线管理个人机密信息的安全，确保从用户浏览器到服务器之间的所有信息是高强度加密传输的。之所以都有 SSL 证书，就是美国相关法律所要求的。从技术上讲， 只有 系统部署了 SSL 证书才能保证个人隐私信息的安全，这是唯一的非常成熟的解决方案。 [/align][align=left] 而反观我国的各种电子政务网站和电子商务网站几乎 100% 都没有 部署 SSL 证书，也就是说，网站根本就没有采取有效的技术手段 ( 部署 SSL 证书 ) 来加密用户机密信息 ( 如电子政务网站的法人手机号码、家庭地址等 ) ，这主要是由于相关法律严重缺失而造成，所以，笔者在此呼吁：希望有关部门能尽快立法来保护广大网民的网络隐私权。 [/align][align=left] 在这里需要特别提醒的是：国内许多在美国上市的公司的网站和系统也没有部署 SSL 证书，这已经触犯了美国有关法律，可能随时会遭到检控，希望这些公司的 CIO 们能在看到此文章和研究有关美国法律后尽快部署 SSL 证书，以免小小失误而影响了中国公司的美好发展前程。 [/align]
4.2 国内 SSL 证书存在问题： 主要问题是国内 CA 颁发的 SSL 证书没有通过微软认证， IE 浏览器无法识别，而显示警告信息，如： IE7 浏览器的警告信息为 “ 此网站出具的安全证书不是受信任的证书颁发机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据，建议关闭此网页，并且不要继续浏览该网站 ” ，这种警告使得用户不敢再访问此网站，也就不会有网站愿意购买国内 CA 颁发的 SSL 证书了。 不仅仅是不支持浏览器的问题，技术上也存在一些问题，主要有： (1) SSL 证书中没有浏览器能自动识别和通过 http 访问的吊销列表，也就是说：如果证书颁发机构发现某个 SSL 证书有问题，或是欺诈网站，则可以吊销此证书，但由于浏览器无法识别有效的吊销列表而无法实时监测到此证书已经吊销，就相当于一个公司的营业执照被吊销而无法查实一样的问题严重。如下图 19 所示，某国内 CA 颁发的 SSL 证书的吊销列表 (CRL) 分发点是不可访问的，并且 Netscape base URL 和 Netscape Revocation URL( 吊销列表 ) 居然是一个不能访问 site_name 主机名：

而 CNNIC 颁发给客户的 SSL 证书的吊销列表一个是不可访问的，第 2 个是 LDAP 方式的吊销列表，也是浏览器无法直接访问的，如下图 20 所示：

(2) 数字证书类型错误：数字证书按产品功能分，主要分为：用于服务器端的 SSL 证书、用于客户端的个人证书和用于数字签名软件代码的代码签名证书。而某国内 CA 颁发的 SSL 证书类型居然是用于客户端验证的个人证书，如下图 21 所示，则这回导致浏览器无法识别正确的证书类型而无法实现 SSL 加密的功能：

(3) 证书主题信息错误：证书主题信息一般会显示 SSL 证书域名 (CN) 、单位名称 (O) 、部门名称 (OU) 、所在国家 (C) 、所在省份 (S) 和所有市县 (L) ，而许多国内 CA 的 SSL 证书的证书申请单位名称 O 字段居然是 CA 的名称！按照 X.509 证书标准格式规定， SSL 证书的主题信息中的 "O" 字段是 Organization 的缩写，只能写 SSL 证书申请单位的名称，而绝对不能写成 CA 的名词，这不仅不符合证书标准规范，而且会给 CA 带来法律风险和给 SS 证书申请单位带来品牌伤害和在线信任。如下图 22 所示为某 CA 颁发给某银行的 SSL 证书的 O 字段是此 CA 的名称，而不是该银行的名称：

同样问题也出现在 CNNIC 颁发给用户的 SSL 证书上，如下图 23 所示，此 SSL 证书是颁发给网易的， O 字段应该显示网易公司名称，但居然显示“ CNNIC SSL ”，这意味着此网站 *.help.163.com 属于 CNNIC SSL ，而不属于网易公司。

[align=center]不仅如此，有些还把 L 字段写成地址， S 字段写成一串数字等等，都是不符合数字证书 X.509 国际标准的。 [/align][align=left]
4.3 国外 CA 颁发的 SSL 证书存在问题 [/align][align=left] 鉴于国内 CA 颁发的 SSL 证书不支持各种浏览器 ( 浏览器应无法识别而显示警告信息 ) ，所以目前国内几乎所有重要的网上银行、网上证券、电子商务网站和电子政务系统全部部署的都是国外 CA 颁发的 SSL 证书，这是有一定的风险的，主要体现在： [/align][align=left] (1) 如第一部分所讲，所有 https:// 访问都是实时向证书颁发机构查询吊销列表的，一旦证书被吊销，而 SSL 证书就不能正常工作了，也就是说不能起到加密作用了。证书颁发机构 (CA) 根据用户的申请或其它原因可以随时 吊销 SSL 证书，试想一下：如果由于某些原因，所有中国的网上银行的 SSL 证书被国外 CA 吊销，则整个中国网银用户都无法使用网银了！如果由于连到美国的互联网线路中断，则由于用户无法访问位于美国的证书吊销列表，而还是一样的影响网银用户的正常使用！ [/align][align=left] (2) 中文单位名称问题：国外 CA 颁发的证书不支持中文单位名称，是普通网民看不懂的英文名称，这不仅不方便国内网民在线实时查看网站的真实身份，而且由于国内企业并没有合法的英文名称而证书中显示的是翻译的英文名称，会存在一定的法律风险。 [/align][align=left] (3) 技术支持问题：国外 CA 的身份验证和技术支持一般都在国外，对于国内用户存在语言障碍和时差问题，这也不利于 SSL 证书的部署和可靠运行。 [/align][align=left]
5. 部署 SSL 证书应该注意哪些问题？ [/align][align=left] 从以上 SSL 证书简介和存在问题分析可以看出：目前只有部署 SSL 证书才能有效地保证网上机密信息的安全，主要用途有： [/align][align=left] (1) 确保用户输入的登录密码能从用户电脑自动加密传输到服务器，从而大大降低了用户密码被盗的可能性。有关统计表明：在用户登录页面部署 SSL 证书后，可以降低 80% 的由于用户密码问题的带来的客户服务工作量，这将为服务提供商大大降低客服成本； [/align][align=left] (2) 确保用户安全登录后在线提交个人机密信息以及公司机密信息和浏览其机密信息时能从用户电脑到网站服务器之间能自动加密传输，防止非法窃取和非法篡改； [/align][align=left] (3) 让在线用户能在线查询网站服务器的真实身份，防止被假冒网站所欺诈。如假冒银行网站，用户只要查看 SSL 证书中的主题信息的 O 字段就能了解此网站并不是真正的银行网站；而被列入黑名单的欺诈网站， IE7 浏览器能实时帮助用户识别； [/align][align=left] (4) 让在线用户放心，这点对于电子商务网站非常重要，因为部署了 SSL 证书，一方面表明服务提供商是采取了可靠的技术措施来保证用户的机密信息安全，另一方面，也就是更重要的是，可以让用户了解到此网站的真实身份已经通过权威的第三方认证，网站身份是真实的，是现实世界合法存在的企业，只有这样，才能让用户放心； [/align][align=left] (5) 法律法规遵从：部署 SSL 证书就等于该网站已经按照有关法律法规要求而采取了可靠的技术措施，这对于企业的健康发展非常重要。 [/align][align=left]
既然我们已经充分了解了部署 SSL 证书的重要性，那么在选购和部署 SSL 证书时应该注意哪些问题呢？简单地总结几点如下： [/align][align=left] (1) 一定要部署支持所有浏览器的 SSL 证书，绝对不能为了省钱而使用自签证书！也就是说：不需要在您的电脑上安装任何根证书就能让您的浏览器能识别出网站已经部署了 SSL 证书，这点是部署 SSL 证书的最低要求，因为您不可能要求您的所有用户都安装某个特定根证书，而用户在访问时 IE7 浏览器会直接拦截不支持浏览器的 SSL 证书，达不到部署 SSL 证书的目的； [/align][align=left] (2) 要根据自己的业务需要选择合适的 SSL 证书 ( 前提是支持浏览器的 SSL 证书 ) ，因为目前市场上有多个品牌可以选择，当然首选支持浏览器的国内品牌 ( 如： WoSign) ，不仅性能价格比高，而且全面支持中文和本地的技术支持和售后服务。 [/align][align=left] 从产品功能上来讲，则首选支持 SGC 强制 128 位加密的 SSL 证书 ( 如： WoSign 品牌的 SGC 超真 SSL) ，只有这样，才能保证用户使用各种版本浏览器都能实现 128 位高强度加密，因为 40 位和 56 位的加密都已经不安全了；其次，如果您确信您的用户都是使用支持 128 位加密的浏览器的话，则您可以选购验证实体身份和证书中显示单位名称的 SSL 证书 ( 如： WoSign 品牌的超真 SSL) ，价格会便宜些。最后，如果您是用在内部网或个人网站，对价格非常敏感，则可以考虑部署只验证域名所有权的 SSL 证书 ( 如： WoSign 品牌的超快 SSL) ，此证书中不显示单位名称。 [/align][align=left] 而对于电子商务 ( 网上购物 ) 网站则推荐 EV SSL 证书，此证书可以让 IE7 、火狐 3 等新版浏览器的地址栏变成绿色，明确地告诉网站访问者，此网站的身份是经过全球统一标准严格验证的，是可信的，绿色地址栏意味着绿色安全通道，可以增强客户信任和促成更多的在线销售。 [/align][align=left]
6. 结束语 [/align][align=left] 总之，从技术上来讲，凡是需要用户登录的网站和系统，都应该部署 SSL 证书，这样才能确保用户的密码和在线机密信息的安全。而部署 SSL 证书非常简单，对于 Windows Server IIS 来讲，只需点 4 下鼠标就可以完成证书的部署。使用上就更简单了，只要把平时使用的 http:// 方式改为 https:// 访问即可自动实现从浏览器到服务器之间的加密传输，无需任何编程和特别设置。 [/align][align=left] 而从社会责任和法规遵从来讲，为了保护网上用户的个人隐私，特别是实现实名制以后的个人真实信息安全，所有网上服务提供商都应该部署 SSL 证书。 [/align][align=left] 最后，从降低客服成本、提高服务质量和提升在线销售量来讲，部署 SSL 证书能降低 80% 的密码被盗问题，大大降低找回密码客服成本，并且由于而保证了用户的机密信息安全，提高了服务质量；而部署 SSL 证书让用户放心了，自然就会提升在线销售额，促成更多在线交易。 [/align][align=left] 这么多的好处，也不过是每年三千多元至四百多不等的部署成本，绝对超值，何不赶紧行动起来尽快部署 SSL 证书，共同打造一个安全诚信的电子商务大环境。 [/align]