百度安装SSL证书的小误区

最近，百度安装SSL证书（服务器证书）、开启全站HTTPS的消息广受关注，部分媒体，包括一些数字证书行业的企业都在报道中提及百度此举将实现全站加密，甚至是“饿死”钓鱼网站。百度安装SSL证书无疑将促进我国网络信息安全的发展，但这些报道可能会在某种程度上误导公众。例如笔者问了身边几位看过相关报道的人士（非行业人士）对此的看法，其中就有人认为，他通过百度访问其他网站，从此就是安全的了。为此，笔者也让****安全工程师看了看这些报道，并将工程师的看法和大家分享一下。


百度此次申请的是SSL通配符证书。大家看到的*.baidu.com代表证书在保护baidu.com旗下的所有域名，例如waimai.baidu.com、zhidao.baidu.com。当你访问百度的这些域名，或者进行搜索时，你的浏览器与百度服务器间的信息传输是进行加密的。但当你点击访问搜索结果中的其他网站时，就从HTTPS加密传输变为HTTP明文传输（除非这个网站也安装了SSL），百度的这张SSL通配符就失效了。一些报道中的搜索环境加密、全站加密这些表述对非专业人士来说还不够精确，应该解释清楚。

SSL证书除了加密传输，另一大作用就是能标明网站服务器身份，这个身份具有不可复制的唯一性，所以能起到防范钓鱼网站的作用。但就和上面说的一样，要看你访问的网站是否装了SSL，而不仅是百度。而且搜索引擎蜘蛛目前是分不清钓鱼页面还是非钓鱼页面的，所以那些钓鱼网站仍可能被百度收录，并被展示在搜索页的前列，钓鱼网站这个顽疾肯定不是搜索引擎联合下CA（证书颁发机构）就能彻底解决的。
　　无论怎样，百度安装SSL证书都是一件大好事。作为中国互联网行业的引领者之一，百度此举有着良好的示范作用，会引发其他企业效仿，让越来越多的网站实现HTTPS加密传输，改善国内的互联网安全环境。
                                                                                                                                                                                                                 乾贷网（www.qiandw.com）运维团队