原标题:国内网络环境略恶劣,上网付款需要数字证书来帮你
一个网站的 CA 数字证书体系包括两个证书:服务器端证书,客户端证书。
我们平常说某个网站采用了 HTTPS,实际上指的是网站采用了服务器端证书(例如安装部署了 versign 的证书),此时侯只做到了单向信任(客户端验证服务器端身份的真实性),并未做到双向信任(服务器信任客户端,客户端信任服务器)。
只采用服务器证书的方式,虽然可以保证通讯链路的安全,但无法保证客户端身份的真实性,因此无法真正意义上保证所谓真实性、完整性、防抵赖、防篡改。例如有一笔交易,假定只依赖于密码体系,用户是可以否认交易是自己发起的。
为了鉴别客户身份的真实性,采用数字证书来进行数字签名是一种有效的方式,但需要额外管理维护成本(例如内部 CA 体系的搭建、客户端数字证书的申请、发放、注销等管理维护需求)。
更具体的内容可以参考一下 PKI 体系及 CA 体系。
回到题主问题,为何国外像 Paypal、Stripe 等只需要服务器端证书即可,并未要求用户申请安装客户端数字证书,我觉得原因有几个:
1、国内恶劣的网络安全环境现实要求
虽然即便采用数字证书、安全控件等手段,也无法规避形形色色的安全问题。
但某种意义上用户对支付平台的信心确实是“比黄金还贵重”。因此第三方支付千方百计地使用包括数字证书在内的各种技术,给用户以安全的感觉,打消使用在线支付的顾虑,这在电子商务初期市场培育时候至关重要,观念和习惯养成后就成为事实上的标准。
另外一方面数字证书作为法律认可的电子签名手段,也可以一定程度上维护第三方支付、银行的利益。
2、第三方支付牌照检测要求
在牌照检测中,强制要求第三方支付必须支持数字证书、安全控件、安全键盘等多重安全措施。
而国外(主要还是欧美)的网络环境相对安全,信用体系也较为完善,违法成本相对较高,持卡人及信用卡商在网络支付的安全顾虑及安全需求不像国内那样强烈,因此也就没必要搞些这些相对复杂、投入较大,但效果不一定明显的措施。
客官,这篇文章有意思吗?
好玩!预告 App 接着看 (????) ?
再逛逛吧 ˊ_>ˋ
相关:
腾讯科技 王潘 11月9日报道互联网金融和O2O无疑是最近两年国内最为火热的两大互联网创业方向,然而,2015年
这可能是最短的一期“这里是广告”,因为我们想说的其实只有一句话:感谢。这也可能是最复杂的一句“感谢”
其实汽车在中国起步,并不比其他国家落后。按照有些说法,甚至第一辆自动车辆,就是 1672 年传教士南怀仁为
说说比较热门的水下组网技术,电磁波在陆地上巨大应用,推动了信息社会的到来,我们大部分人享受着信息带来
Zhou (2014) 的结论里说, “Moreover, we find little effect of the upsurge in rural-urban migration o
1800 年 1 月,美利坚合众国首都费城。时任副总统的杰斐逊正伏在书桌上写信给几天前刚刚上任的维吉尼亚州州
在这个浮躁的社会,很多人幻想成功能够一蹴而就,希望报一个速成班就能学到傍身的绝技。但对于很多普通人来
对产品经理来说,尤其是大公司里的策略产品经理,每一次的策略改进都需要拿出实实在在的证据来说明新策略的
包括盗窃罪在内的侵犯财产罪,都要求以非法占有为故意。这是对主观上的要求,不是客观行为的表现。因此,客
我们大概都知道神经元活动和调控中最重要的一个机能是放电(firing),这是神经信号传递的外在可见形式 [1]