爭論總體來自三個方面。一方面是用戶，大多數(shù)用戶對數(shù)字證書的了解不多，但至少都知道數(shù)字證書和數(shù)字簽名是一種安全和信任的表示，如果數(shù)字證書和數(shù)字簽名都不能相信，那么我們在互聯(lián)網(wǎng)上如何識別惡意軟件和網(wǎng)站呢？另一方面來自安全軟件廠商，絕大多數(shù)安全軟件廠商都會采用數(shù)字證書對自己的軟件進行簽名，一來是未來保護自己的著作權(quán)不被侵犯，二來是為了塑造在用戶心中的信任感。但如果數(shù)字簽名不可信，那么軟件市場就會陷入一個“劣幣驅(qū)除良幣”的局面，大量優(yōu)質(zhì)軟件和可信程序會因為少數(shù)惡意軟件對用戶的侵害，也喪失用戶的信任。第三方面是權(quán)威的數(shù)字認證中心，他們是數(shù)字證書的頒發(fā)機構(gòu)。對于360安全衛(wèi)士的指責(zé)他們大多感到很無奈，畢竟是極個別沒有資質(zhì)的廠商頒發(fā)的數(shù)字證書造成了這種局面，而這對整個行業(yè)的可信度都產(chǎn)生了極壞的影響。問題的焦點在于，“熱鍵科技（深圳）有限公司”和“深圳市沃通電子商務(wù)服務(wù)有限公司”究竟是誰，他們是否能代表整個數(shù)字認證行業(yè)，他們的行為是如何產(chǎn)生的，會對用戶和軟件廠商帶來怎樣的危害？

 

據(jù)筆者了解，數(shù)字認證行業(yè)（CA）屬于互聯(lián)網(wǎng)基礎(chǔ)行業(yè)，其與域名、主機服務(wù)和網(wǎng)絡(luò)安全一樣是構(gòu)成目前互聯(lián)網(wǎng)安全與信任體系的支柱。從法律上說，在國內(nèi)要經(jīng)營數(shù)字認證業(yè)務(wù)，必須通過國家工業(yè)與信息化部的批準(zhǔn)，而目前國內(nèi)具備這種資格的公司僅有20余家，其中絕大部分是地方CA，僅有北京天威誠信電子商務(wù)服務(wù)有限公司（天威誠信數(shù)字認證中心）等少數(shù)幾家CA機構(gòu)具有全國運營的能力——熱鍵科技和沃通電子均不在此列。

 

那么，這些沒有資質(zhì)的公司頒發(fā)的數(shù)字證書會帶來什么問題呢？數(shù)字證書并不是一種單純的商品，它是一整套互聯(lián)網(wǎng)信任體系的具體表現(xiàn)形式，其背后除了需要強大的技術(shù)支撐外，更需要來自操作系統(tǒng)、瀏覽器廠商的支持，尤其是需要一套專業(yè)、完整、嚴(yán)謹(jǐn)、公正的鑒證服務(wù)體系。沒有這些，數(shù)字證書不過是一個簡單的程序，它就和我們現(xiàn)實生活中“東南亞辦證集團”辦理的各類證書一樣，不具備任何可信度和法律保障。如果放任這類非授權(quán)CA機構(gòu)頒發(fā)的數(shù)字證書，那么將會讓惡意軟件橫行，互聯(lián)網(wǎng)信任體系崩潰，進而讓互聯(lián)網(wǎng)無法承載任何權(quán)威信息傳播和電子交易。

 

熱鍵科技和沃通電子頒發(fā)的證書大部分有兩種來源，一種是自己開發(fā)的數(shù)字證書，他們沒有操作系統(tǒng)和瀏覽器根內(nèi)置，不被操作系統(tǒng)和瀏覽器信任，會頻繁報錯。這類證書并不可怕，真正可怕的是如沃通電子從國外瀕臨倒閉的CA廠商購入的數(shù)字證書，經(jīng)過重新技術(shù)和市場的包裝，再以知名證書品牌的名義向市場兜售，而且價格低得驚人。這類證書可以輕易繞過操作系統(tǒng)和瀏覽器，給用戶帶來不可挽回的重大損失。

 

那么我們應(yīng)該如何識別數(shù)字證書，我們又該信任哪些數(shù)字證書呢？數(shù)字證書的種類很多，我們無法一一闡述，以這次曝光嚴(yán)重的代碼簽名證書和SSL服務(wù)器證書來看，無論是用戶還是網(wǎng)站、軟件公司的采購人員，都需要注意以下幾點：

 

1、   選擇國際知名的產(chǎn)品，這些產(chǎn)品在全球通用，獲得全球信任保障體系的支撐，如Verisign（國內(nèi)的銀行基本上都是用這個牌子的證書）、Geotrust、Thawte（google用的這個）等品牌；

 

2、   選擇這些品牌在國內(nèi)的授權(quán)代理機構(gòu)購買，這些授權(quán)機構(gòu)基本上都是國家批準(zhǔn)的CA中心，他們具有完善、專業(yè)的鑒證流程和團隊，是數(shù)字證書可信度的基本保障，如Verisign在國內(nèi)的首要合作伙伴天威誠信；

 

3、   不要因為低廉的價格而選擇一些沒有資質(zhì)的公司和其所頒發(fā)的數(shù)字證書，貪一時的小便宜將會對公司、產(chǎn)品的信任度帶來極大的危害；

 

4、   用戶在安裝軟件的過程中一定要學(xué)會識別數(shù)字證書和數(shù)字簽名，避免安裝一些沒有數(shù)字證書或數(shù)字證書不可信的軟件產(chǎn)品，給自己帶來損失。

 

經(jīng)過十年的發(fā)展，中國互聯(lián)網(wǎng)行業(yè)煥發(fā)出前所未有的活力和生機，而互聯(lián)網(wǎng)的信任環(huán)境又非常脆弱。網(wǎng)絡(luò)誠信環(huán)境的建設(shè)需要來自各方的共同努力，尤其是相關(guān)安全、信任服務(wù)廠商的自律。