SSL安全套結字層協(xié)議（secure sockets layer），提供了一個傳輸層安全的應用協(xié)議，解決互聯(lián)網(wǎng)服務網(wǎng)站的身份識別，機密、隱私信息的加密傳輸問題。SSL部署的過程中至關重要的環(huán)節(jié)是SSL網(wǎng)站安全證書（certificate ssl）的申請與配置。 決定購買何種SSL網(wǎng)站安全證書，不僅是一個技術問題，更涉及到公司的戰(zhàn)略、服務意識、管理等一系列問題。本文將從管理層面對服務器證書的選擇進行討論。

管理層面，是否根內置？ 

根內置，是一個證書領域的專門術語，指CA機構通過相關國際機構審查后，與瀏覽器生產(chǎn)商協(xié)調后，發(fā)布在瀏覽器內。瀏覽器廠商為CA機構根證書的真實性負責。 

1、自己簽發(fā)的證書與根內置的第三方機構頒發(fā)的證書有什么不同？存在什么風險？ 

國內有些網(wǎng)站采用自簽名的SSL網(wǎng)站安全證書(certificate ssl）提供公眾服務，卻并不了解其中蘊藏著極大的安全風險。SSL網(wǎng)站安全證書的兩個關鍵功能，除了廣為所知的加密通道外，網(wǎng)站身份識別的作用在釣魚網(wǎng)站泛濫時尤為重要。CA機構需要極其嚴格的審核過程，才能把根植入瀏覽器內。通過根內置的證書才能在對用戶透明的前提下完成對服務其身份的認證。 自簽名的證書由于需要客戶端下載根證書才能完成SSL網(wǎng)站安全證書的驗證過程，而把對根證書真?zhèn)蔚呐袛鄰娂咏o對此毫不知情的用戶，顯然存在極大的風險。因為，釣魚網(wǎng)站可以偽造自簽名的SSL網(wǎng)站安全證書欺騙用戶。

2、根內置與非根內置的第三方機購頒發(fā)的證書有什么不同？存在什么風險？ 由于實施了《電子簽名法》，國內機構在頒發(fā)合法的客戶端證書的同時，開展SSL網(wǎng)站安全證書業(yè)務，如果該類SSL網(wǎng)站安全證書用于內部應用，可以實現(xiàn)相應的安全應用，但對于互聯(lián)網(wǎng)應用服務，卻存在極大的安全風險和隱患。 從本質來講，非根內置的SSL網(wǎng)站安全證書和自簽名證書有同樣的風險，釣魚網(wǎng)站在偽造SSL服務器證書的同時可以偽造第三方機構的根證書。而由于這種偽造造成的損失，服務提供商和第三方機構間的責任劃分存在明顯的隱患。 

管理方面  

即使把SSL服務器證書選擇限定在根內置證書的范圍內仍存在太多的選擇。

1、品牌是重要的嗎？ SSL網(wǎng)站安全證書(certificate ssl）本身也具有品牌性的，要考慮提供互聯(lián)網(wǎng)服務的品牌是否與服務器品牌相適應，例如，從VeriSign來說，VeriSign本身也提供三種品牌的服務，VerSign的高端產(chǎn)品，以及服務于非洲、或國際市場的中低品牌thawte 、geotrust。而從VeriSign的品牌來說占據(jù)世界500強的94%，可見，SSL網(wǎng)站安全證書品牌是和互聯(lián)網(wǎng)業(yè)務相輔相成的。采用高端的SSL網(wǎng)站安全證書品牌對提高服務的互聯(lián)網(wǎng)應用的品牌價值具有重要的意義。 

2、品牌的服務質量如何？ SSL網(wǎng)站安全證書之所以具有品牌性，和其提供的服務價值密不可分，服務質量可以分為三個方面 服務的可延續(xù)性，SSL服務器證書作為持續(xù)服務的產(chǎn)品，其延續(xù)性和互聯(lián)網(wǎng)應用的可持續(xù)性密切相關，而作為商業(yè)機構的SSL服務器證書頒發(fā)機構，處于底層的第三方機構由于自身業(yè)務能力，公司實力卻存在破產(chǎn)或者停業(yè)的風險。從而，影響所提供的互聯(lián)網(wǎng)應用服務自身的品牌價值。 服務的嚴謹性，SSL服務器證書要證明所代表互聯(lián)網(wǎng)服務的網(wǎng)站身份，因此需要嚴格的鑒證審批流程，而嚴謹?shù)蔫b證流程是保障互聯(lián)網(wǎng)服務提供商和最終用戶權益的必要條件。因此，所謂的快速發(fā)證和無鑒證流程在提供便利性的同時，是以犧牲客戶利益和帶來風險為前提的。 服務的本地化，目前SSL服務器證書一般均是國外機構在中國的戰(zhàn)略合作伙伴或代理頒發(fā)，戰(zhàn)略合作伙伴一般可以提供良好的本地化服務，而代理商魚龍混雜，需要通過對公司實力、服務時間等仔細甄別，判斷是否能提供適當?shù)谋镜鼗铡? 

3、證書的價值如何體現(xiàn)？ 證書的價值在于SSL網(wǎng)站安全證書品牌帶來的良性促進，以及合法的本地利益保障，由于國內外企業(yè)制度，企業(yè)身份的認證過程不同，因此，需要符合本地法律的鑒證流程保障合法利益。本地鑒證是根據(jù)國情制定的鑒證策略，互聯(lián)網(wǎng)服務上合法利益受到損害時可以得到中國法律支持的利益保障。因此，能提供本地見證服務，也是SSL網(wǎng)站安全證書選擇中關鍵的一環(huán)。 本文討論了SSL網(wǎng)站安全證書選擇時需要關注的環(huán)節(jié)，以及一些選擇的風險和安全隱患。當然，技術在不斷進步，管理和服務模式不斷更新，需要根據(jù)實際情況和背景調整思路，以便做出有利于互聯(lián)網(wǎng)服務發(fā)展的更好選擇。