网站部署SSL证书的过程并非一帆风顺，同样面临许多风险和挑战。

■ 本报特约撰稿 王高华

国内CA机构颁发SSL证书的风险

目前，国内很多CA机构都在颁发SSL证书，但存在着一些问题，主要体现在以下几个方面。

首先，国内CA机构颁发的SSL证书很多没有通过微软的认证，这样，IE浏览器无法识别，并且会显示警告信息，如：IE7浏览器的警告信息为“此网站出具的安全证书不是受信任的证书颁发机构颁发的，安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据，建议关闭此网页，并且不要继续浏览该网站”，这种警告使得用户不敢再访问此网站，也就不会有网站愿意购买国内CA机构颁发的SSL证书了。

其次，SSL证书中没有浏览器能自动识别和通过http访问的吊销列表，这意味着：如果证书颁发机构发现某个SSL证书有问题，或是欺诈网站，则可以吊销此证书，但由于浏览器无法识别有效的吊销列表因此无法实时监测到此证书是否已经吊销，这样问题会相当严重，这就相当于一个公司的营业执照被吊销而无法查实一样。比如，CNNIC颁发给客户的SSL证书的吊销列表一个是不可访问的，另一个是LDAP方式的吊销列表，是浏览器无法直接访问的，因此无法确认该SSL证书是否有效。

第三，数字证书类型会有错误。数字证书按产品功能分，主要分为：用于服务器端的SSL证书、用于客户端的个人证书和用于数字签名软件代码的代码签名证书。而有些国内CA机构颁发的SSL证书类型居然是用于客户端验证的个人证书，这会导致浏览器因无法识别正确的证书类型而无法实现SSL加密功能。

第四，证书主题不符合国际标准。证书主题信息一般会显示SSL证书域名(CN)、单位名称(O)、部门名称(OU)、所在国家(C)、所在省份(S)和所在市县(L)，而许多国内CA机构颁发的SSL证书的证书申请单位名称O字段居然是CA的名称！按照X.509证书标准格式规定， SSL证书主题信息中的“O”字段只能写SSL证书申请单位的名称，而绝对不能写成CA机构的名词，这不仅不符合证书标准规范，而且会给CA机构带来法律风险和给SSL证书申请单位带来品牌伤害和在线信任问题。比如，国内某CA机构颁发给某银行的SSL证书的O字段是此CA机构的名称，而不是该银行的名称，按照X.509证书标准格式解释，该银行属于此CA机构。同样的问题也出现在CNNIC颁发给网易的SSL证书上，O字段应该显示网易公司名称，但居然显示“CNNIC SSL”，这意味着此网站*.help.163.com属于CNNIC，而不属于网易公司。不仅如此，有些还把L字段写成地址，S字段写成一串数字等等，都是不符合数字证书X.509国际标准的。