认证机构和浏览器厂商正在联合制定更严格的标准，重建网站的SSL安全认证。

　　网页浏览器中有一个代表安全的黄色挂锁标志，但是由于标准的先天不足，加上管理松散，其安全作用已经被大大削弱了。但是，随着明年将出台更严格的标准，并推出相关的浏览器更新，这把锁将变得更加安全。

　　这个图标的设计本意是想告诉大家：跟网站的通信是经过加密的，并且有第三方对此认证，保证其合法性。但是近年来，由于审核不力，已经破坏了它的安全保障能力。

　　为了解决这个问题，一些发行加密套接字协议层认证的公司联手主要的浏览器厂商，正在开发新型的“高安全性”认证。这个非正式组织叫做CA论坛，他们今年已经举行了三次会议，而且明年还将继续。参会的代表跟CNET进行了交流。

　　Comodo是新泽西的一家认证机构，该公司总裁Melih Abdulhayoglu说：" 作为业界公司，我们必须关注对信任的威胁。挂锁是很有用的，但是现在因为一些认证机构的草率，导致人们对它产生了一些困惑。" 计划中的新安全认证将帮助人们重建对网络的信心，特别是在反钓鱼攻击方面进行了努力。

　　用锁作为图标，意味着消费者的在线交易（比如网络银行操作或者购物）是受到保护的。而且，这把锁对于网络商业也是至关重要的：据市场调查公司Forrester Research预计，今年美国的在线零售额是1720亿美元，到2010年将增长到3290亿美元。

　　随着钓鱼攻击的出现，问题变得越开越严峻。钓鱼攻击使用虚假的网站来迷惑消费者，骗取他们的敏感信息。而且有一些欺诈性网站也有合法的证书，也带有一个表示安全的挂锁标志。

　　微软公司IE安全组的程序经理Rob Franco说：" 认证机构所能提供的鉴别水平在一定程度上受限于标准，如果满世界都充斥着受骗用户和骗人者的时候，我认为有必要制定一个对身份认证支持更好的标准。"

　　挂锁的背后加密套接字协议层认证包含一个密钥，认证机构凭借这个来证明证书的有效性。它的任务是验证申请者的授权书，验证通过的话，网络用户就可以信任证书的信息。

　　最初，所有的认证机构在发放安全证书之前，都要对申请网站进行彻底的检查。但是，几年前，个别认证机构为了降低认证成本，放松了背景检查，其他机构也纷纷效仿。有些公司甚至仅仅根据一个有效的电子邮件地址就发放证书。

　　Corillian 的首席安全官Jim Maloney 说：" 基础认证存在的问题是筛选水平太低，而且浏览器的验证方法对普通用户来说不易操作。" Corillian 向超过100 家银行提供在线银行技术，其中包括Wachovia、JP摩根和Capitol One.现在，人们必须点击挂锁标志，才能获得认证的详细信息。

　　据Financial Insights（IDC 的一个部门）报告，2004年，全球金融机构由于钓鱼攻击造成的损失至少是4 亿美元。在线威胁还引发了消费者的恐慌。据电子安全工业联盟六月进行的调查显示，近一半的美国受访者称，由于担心敏感信息失窃，他们回避了网络交易。

　　浏览器是认证问题的一个焦点。浏览器对所有的认证一视同仁，不对证书的内容和认证机构进行区分。所有拥有SSL 证书的网站都显示同样的挂锁标志。

　　Gartner 的分析师John Pescatore说：" 浏览器无法处理各种证书，这意味着它不去理会认证机构进行的验证有多严格，一些人就利用了这个缺点。"

　　在网络诞生初期，网景公司发明了挂锁标志，它代表用户连接的是经过认证的安全网站。但是，随着一些认证机构降低了审核标准，情况出现了变化。Comodo的市场副总裁Judy Shapiro说："

　　浏览器对此无能为力。没有人想到会有人对认证程序偷工减料，那可是商业认证。浏览器无法按照级别高低显示不同的认证。"

　　但是这种情况明年将会改变，届时微软将发布Internet Explorer 7 ，其他浏览器厂商也在酝酿相关改进，来处理SSL 证书。

　　正是由于浏览器厂商的这些举动，VeriSign Comodo GeoTrust和Cybertrust等认证机构才聚首CA论坛，制定新的认证。今年他们已经举行了三次会议，来制定发放认证的标准。

　　VeriSign是最大的认证机构，该公司产品经理Spiros Theodossiou说：" 认证机构和浏览器厂商将共同努力，打造高安全度的认证。我们在制定一个标准，便于消费者识别所在的网站属于哪个组织。"

　　这个标准短期内还不会出台，认证机构现阶段的认证水平还是参差不齐。比如，如果要申请带有VeriSign名称的证书，申请人必须证明自己是注册公司，并且有权使用特定的Internet域名。VeriSign还会检查购买证书的员工是否得到了公司许可。但是，另一家认证机构GeoTrust，却采用了自动化的验证系统，而VeriSign的Thawte部门只需要一封确认邮件就发放证书。

　　GeoTrust的技术总监Chris Bailey说，高安全度认证的范围会超出现有的认证。" 他们会把网站域名和公司进行绑定，还会要求申请者证明自己能够代表公司，以及代表的公司是确实存在的。" 认证机构正在制定高安全度证书的审查程序，以及保证同行业之间的一致性。他们聘请了美国律师会作为独立机构，来协助制定这些规则。

　　Bailey说：" 我们到明年将拿出可操作的方案，VeriSign和Comodo也有望在明年就推出新的认证。"

　　山雨欲来

　　WebPay是一家在线付款服务的提供商，它的合作伙伴包括网络电话公司Skype ，以及苹果公司在欧洲的iTunes服务部门。据该公司CTO Fabian Siegel 说，他们正在等待新认证的推出。

　　他说：" 这是让消费者易于使用SSL 而迈出的正确一步，新的SSL 认证将保证消费者不受钓鱼网站的攻击。最大的问题是，现在根本没有多少消费者知道如何使用浏览器中的SSL 证书。" 银行也可能采用高安全度的认证。

　　主流的浏览器——IE、Firefox 、Opera 和开源浏览器Konqueror ——都在呼吁新认证浮出水面。大部分浏览器都将提供对新认证的支持，并且不再简单的用挂锁标志来表示安全情况。

　　在即将发布的IE 7中，微软准备增加一个绿色的地址栏，用于显示获得新证书的网站的安全情况。

　　IE 7目前处于测试阶段，正式版本预计将在2006年底发布。

　　Firefox 、Opera 和Konqueror 的开发者也在考虑用新的显示方式来取代挂锁标志。

　　据Mozilla 的产品副总裁Chris Beard 说，Firefox 的开发人员在考虑相应变化。虽然他们还没有拿出最终方案，他们正在对新的SSL 安全更新进行全面的研究。

　　VeriSign的Theodossiou 说，新认证制定过程中最大的障碍在于认证公司之间的沟通。他说：" 如果我们能达成一致，将大大增强消费者对网络消费的信心。"

(责任编辑：关美纳)