本章节提供有关 Entrust 联系人、Entrust 支持的最常见问题的答案。

    什么是“扩展验证”?

    扩展验证是指证书颁发机构在颁发 SSL 证书之前使用的严格行业标准验证方法。CA/Browser 论坛在此处发布扩展验证指南。

    什么是 EV(扩展验证)Multi-Domain SSL 证书?

    由行业联盟 CA/Browser 论坛创建的扩展验证 (EV) SSL 证书。 这一新类别的证书是为了应对日益增多的网络钓鱼攻击威胁而设计的,目的是提高消费者对在线交易的信心。 只有在严格验证网站的身份后,才会向网站颁发 EV 证书。 Web 浏览器将通过突出明确的信任指标来反映这种更高级别的身份保证,例如 Internet Explorer 和 Mozilla Firefox 的绿色地址栏,以及最新版本的 Opera 和 Google Chrome 的高级绿色指标。

    CA/Browser 论坛是什么?

    CA/Browser 论坛是由证书颁发机构服务提供商、网络浏览器制造商和其他行业参与者组成的小组,他们聚集在一起,共同研究如何减少网络钓鱼威胁。Entrust 曾担任该小组的主席,大力支持其工作。 更多信息,请参见 CA/Browser 论坛网站

    哪些浏览器支持 Entrust Multi-Domain EV SSL 证书?

    目前使用的大多数浏览器都显示 EV 绿色信任指示器。 一些支持 EV 的主流浏览器包括 Internet Explorer(版本 7 及以上)、Mozilla Firefox 版本 3、Opera 版本 8、Safari 版本 3.2、Google Chrome 和 Flock 版本 2。

    Entrust Multi-Domain EV SSL 证书会如何提高消费者的信心?

    由于许多恶意网络钓鱼事件和在线欺诈事件的出现,消费者担心身份被盗,并希望保证他们输入个人数据的网站可以被信任。 如果消费者认为网站不受信任且他们的个人信息未加密,他们会离开网站并将其交易委托给另一家供应商。 Entrust Multi-Domain EV SSL 证书将显示突出一致的信任指标,帮助消费者提高在线交易时的信心。 现在锁位于浏览器窗口的顶部而不是底部,如果网站安装了 Entrust Multi-Domain EV SSL 证书,地址栏的颜色将显示为绿色,并显示网站的身份和证书颁发机构的名称,让消费者知道他们可以放心购物。

    谁可以购买 Entrust EV SSL 证书?

    现在,许多商业实体都有资格获得 EV 证书:

    1. 私人机构: 非政府法人实体(无论所有权是未上市还是公开交上市),其存在是通过向注册成立的管辖区的法人机构提交文件(或行为)创建的。
    2. 政府实体: 政府经营的法人实体、机构、部门、部委或国家/地区政府的类似单位或国内的政治分支机构(例如州、省、市、县等)。
    3. 商业实体: 既不是私人机构也不是政府实体的实体。 包括普通合伙企业、非公司协会和独资企业等。

    我该如何购买 Entrust Multi-Domain EV SSL 证书?

    Entrust Multi-Domain EV SSL 证书将首先通过此处的 Entrust 证书服务网站提供,稍后还将通过我们的增强界面(帮助客户管理更大的证书池)提供。

    我可以将现有的 Entrust SSL 证书升级为新的 Entrust Multi-Domain EV SSL 证书吗?

    可以。请注意,参加促销活动的客户需要根据新的 EV 指南进行验证,然后才能发放证书。

    Entrust Multi-Domain EV SSL 证书的最长生命周期是多久?

    Entrust Multi-Domain EV SSL 证书的最长生命周期为 2 年(24 个月)。

    Entrust Multi-Domain SSL 证书与当前的 Entrust SSL 证书有何不同?

    主要区别在于 Entrust EV SSL 证书颁发之前会发生什么。 在颁发任何 Entrust SSL 证书之前,Entrust 会进行检查,以“审查”或验证申请人的身份。

    在新的 EV 模式下,对申请 Entrust Multi-Domain EV SSL 证书的实体(例如公司或网站运营商)的验证将根据 CA/Browser 论坛定义的行业标准指南进行。 这与当前的做法不同,当前做法中,不同证书颁发机构的验证标准截然不同。 尽管大多数证书颁发机构都有严格的验证实践,但并非所有机构都有,这会破坏针对消费者交易的 SSL 的整体安全性。

    使用“扩展验证”颁发的证书将包括对特定于 EV 的证书政策的引用。 每个证书颁发机构都有一个独一无二的政策和政策对象标识符 (OID)。 支持 EV 的浏览器在遇到根据他们所认可的 EV 政策 OID 颁发的证书时,行为会有所不同。

    请注意,在技术层面,Entrust Multi-Domain EV SSL 证书与标准 X.509 证书没有区别,并且与旧版浏览器向后兼容。 Entrust Multi-Domain EV SSL 证书将包括有关该主题(颁发证书的实体)的更多信息,包括公司注册的管辖权。

    我现在持有的 Entrust SSL 证书足以保护在线交易的安全吗?

    从加密的角度来看,是的,您当前的 Entrust SSL 证书仍将导致加密的 SSL 会话。

    但是,对在线交易的最大威胁本质上并不是加密技术,而是网络钓鱼。 网络钓鱼使消费者无法区分值得信赖的网站和冒名网站。

    EV 计划旨在使消费者更容易区分值得信赖的网站和冒名网站。 从可用性的角度来看,随着消费者使用新的浏览器,并开始期待在交易时 Entrust Multi-Domain EV SSL 证书能够提供的强大的信任指标,非 EV 证书的有效性将会下降。

    我应该切换到 Entrust Multi-Domain EV SSL 证书吗?

    如果您运营电子商务交易网站,或者如果您收集敏感或私人信息,则应考虑切换到 Entrust Multi-Domain EV SSL 证书。

    网络钓鱼攻击是对消费者对互联网信任的真正威胁,Entrust Multi-Domain EV SSL 证书只有在广泛部署和使用的情况下才能成为解决方案的一部分。

    无 EV 支持的旧版浏览器在使用 Entrust Multi-Domain EV SSL 证书的网站上表现如何?

    无 EV 支持的浏览器将继续像如今一样运行。 只要证书是由浏览器信任的证书颁发机构颁发的,锁将按预期关闭。

    SSL 证书浏览器截图

    在大多数情况下,对旧版浏览器和新版 EV 浏览器的网站支持都需要在 Web 服务器上安装交叉证书,该证书由已嵌入旧版浏览器的根证书颁发机构颁发。 交叉证书将证明新的 EV 特定证书颁发机构是值得信赖的,而实际的 Web 服务器站点证书将由证书颁发机构颁发。

    浏览器在访问具有无效证书的网站或网络钓鱼站点时会如何响应?

    响应可能会因浏览器类型而有所不同,但通常,红色地址栏可能表示您访问了已知的网络钓鱼站点。

    红色警报可阻止立即访问举报的网络钓鱼站点,但如果用户愿意还是可以继续访问网站。

    网络钓鱼网站示例截图

    红色地址栏还可能表示证书可能存在问题,或者证书可能不是由值得信赖的证书颁发机构颁发的。

    Internet Explorer 向用户发出突出的警告,并建议用户不要访问该页面。

    安全证书警告截图

    如果用户忽略警告,继续访问,地址栏将变成红色,出现红色警告“安全徽章”。

    浏览器安全徽章警告截图

    我基于 Entrust 软件运营自己的证书颁发机构,可以自己颁发 EV 证书吗?

    可以,如果您拥有基于 Entrust 的根证书颁发机构,一旦您的证书颁发机构获 EV 浏览器认可,您就能够颁发 Entrust Multi-Domain EV SSL 证书。 这要么需要与主要浏览器 EV 根嵌入程序中已有的证书颁发机构进行交叉认证,或者您将自己的根目录提交到程序中。 在这两种情况下,您都需要根据 CA/Browser 论坛指南进行审核。

    我是网站运营商。 Entrust Multi-Domain EV SSL 证书对我有何影响?

    对于网站运营商而言,需要考虑的一些更改包括将有关订阅者的更多详细信息添加到证书中,包括:

    • 域名
    • 机构名称
    • 注册成立的管辖区
    • 城市或城镇
    • 州或省(如有)
    • 国家/地区 - 强制性

    某些 CSR 生成工具可能使您无法将此信息添加到证书中。 但是,一旦证书订购完成,Entrust 将能够将此信息添加到您的 Entrust Multi-Domain EV SSL 证书中。

    请注意,EV 标准不允许使用通配符证书,会影响您可能需要购买的证书数量。

    “浏览器不能只使用当前的 Entrust SSL 证书将地址栏变成绿色吗?”

    虽然可以基于当前的 SSL 证书在浏览器中启用更突出的安全功能,但问题在于当前证书背后的验证级别不一致。

    一些证书颁发机构对申请 SSL 证书的公司执行的验证检查不那么严格,会带来网络钓鱼网站可能获得有效 SSL 证书的风险。

    考虑到这种风险,CA/Browser 论坛将着手建立一套一致的通用验证指南,参与计划的证书颁发机构可以遵循本指南,浏览器制造商在启用绿色地址栏等更突出的安全功能之前也可以依赖本指南。

    我可以获得 Entrust Multi-Domain EV SSL 通配符证书吗?

    不可以,EV SSL 指南不允许获得通配符证书。 在某些情况下,使用 subjectAltName 扩展可以提供与通配符证书相同的好处,这在 EV 指南中是允许的。

    在什么情况下,我的 Entrust Multi-Domain EV SSL 证书将被吊销?

    在发生以下任何一种情况时,Entrust 必须吊销 Entrust Multi-Domain EV SSL 证书:

    • 订阅者请求吊销其 Entrust Multi-Domain EV SSL 证书。
    • 订阅者表示,原始的 Entrust Multi-Domain EV SSL 证书请求未获授权,也不会追溯授予授权。
    • Entrust 会获得合理证据证明订阅者的私钥(对应于 Entrust Multi-Domain EV SSL 证书的公钥)已被盗用,或者 Entrust Multi-Domain EV SSL 证书被滥用。
    • Entrust 会收到通知或以其他方式知道订阅者违反了订阅者协议规定的任何重大义务。
    • Entrust 会收到通知或以其他方式知道法院或仲裁员已经撤销了订阅者使用 Entrust Multi-Domain EV SSL 证书中列出的域名的权利,或者订阅者未能续订域名。
    • Entrust 会收到通知或以其他方式知道 Entrust Multi-Domain EV SSL 证书中包含的信息发生了重大变化。
    • 证书颁发机构自行决定 Entrust Multi-Domain EV SSL 证书不是根据本指南或证书颁发机构的 EV 政策的条款和条件颁发的。
    • 如果 Entrust 确定 Entrust Multi-Domain EV SSL 证书中显示的任何信息都不准确。
    • Entrust 基于任何原因停止运行,也没有安排另一个 EV 证书颁发机构为 EV 证书提供吊销支持。
    • Entrust 根据这些指南颁发 Entrust Multi-Domain EV SSL 证书的权利已过期或被吊销或终止 [除非证书颁发机构安排继续维护 CRL/OCSP 存储库]。
    • Entrust 分配给该 Entrust Multi-Domain EV SSL 证书的私钥已被泄露。
    • Entrust 会收到通知或以其他方式知道订阅者已被作为被拒绝方或被禁止的人添加到黑名单中,或者根据证书颁发机构运营管辖区的法律在禁止的目的地运营。

    Entrust 的 EV 证书问题报告和响应能力是什么?

    报告

    如果您因上述任何原因希望吊销您的 Entrust Multi-Domain EV SSL 证书,您可以填写我们的在线投诉表与我们联系。

    除了 Entrust Multi-Domain EV SSL 证书吊销之外,订阅者、依赖方、应用软件供应商和其他第三方也可以填写我们的在线投诉表联系我们,以举报投诉或涉嫌私钥泄漏,EV 证书滥用或其他类型欺诈、泄露、滥用或与 EV 证书相关的不当行为。

    调查

    Entrust 将在二十四 (24) 小时内开始调查所有证书问题报告,并根据以下标准决定是否有必要吊销或采取其他适当措施:

    1. 所提出问题的性质;
    2. 收到的关于特定 EV 证书或网站的证书问题报告的数量;
    3. 申诉人的身份(例如,执法官员提出的关于某网站从事非法活动的投诉比消费者声称他们从未收到订购的货物的投诉更加重要);以及
    4. 现行的相关立法。

    响应

    Entrust 将保持持续的全天候内部响应任何高优先级证书问题报告的能力,并在适当的情况下将此类投诉转交给执法部门和/或吊销作为此类投诉主题的 Entrust Multi-Domain EV SSL 证书。