现在,基金交易火爆,所以有许多用户询问“网上基金交易安全吗?”的同一个问题, WoSign 作为国内领先的信息安全服务提供商有必要客观地正面回答此问题,为此,我们组织技术人员在线访问几十家基金的网站做了一个实际调查( 上网环境: Windows XP , IE7 浏览器 )。
由于基金太多,我们并没有调查完每个基金网站,但调查几十家基金公司网站已经能说明问题,可以看出:基金网上交易系统基本上都采用了 SSL证书加密技术,但普遍还没有采用了客户端证书和支持 USB Key 硬件数字证书,也都没有采用安全密码控件来防止用户在输入密码时被间谍软件非法截获。可以说,采用了仅仅部署了 SSL 证书还是不过的,还必须采用其他安全措施才能确保用户在线交易安全。
具体需要改进之处有:
(1) 使用自签证书是不可取,有些自签证书居然是 10 年有效期,而且没有吊销列表,这非常不安全。为何 VeriSign SSL 证书只有 3 年,业界一般不会超过 5 年,只要是考虑到 SSL 证书密钥的安全 ( 短期内不会被破解 ) ;
(2) 对于采用 CFCA 或国内其他 CA 的数字证书的系统,主要问题是对于一般用户来讲,如果没有安装其根证书,则会被 IE 浏览器所阻止,这是一个不能忽视的问题;
(3) 考虑到网银系统的用户使用的操作系统和浏览器版本各种各样,其 SSL证书一定要支持 SGC 强制 128 位加密技术,否则如果用户使用低版本浏览器的话,可能只能实现 40 为或 56 位的加密,而破译 40 位加密只需几秒钟, 56 位加密也只需几天时间。所以,部署 不 支持强制 128 位加密技术的 SSL 证书也是非常不安全的,而且还容易让用户误以为有 SSL 证书就安全了。建议网银系统选购 VeriSign 原版 SSL 证书 Secure Site Pro( 强制 128 位加密 ),推荐选购同样支持强制 128 位加密技术的 WoSign SGC超真SSL 证书;
(4) 密码安全控件技术被公认为保护在线用户输入密码安全的有效手段,目前已经得到各种系统的普遍应用,此安全控件的作用是获得键盘的控制权,使得用户输入的密码信息不可能被电脑中可能有的间谍软件截取。建议基金在线交易系统尽快采用此技术。
(5) 所有基金在线交易网站的身份认证都还是用户名/密码认证方式,非常不安全,推荐采用网银系统一样的采用客户端证书 +USB Key 方式来实现强身份认证,确保基金帐户安全。
(6) 建议凡是要求用户下载安装的软件 ( 如:专用客户端软件 ) 都应该有数字签名,以防止被恶意软件篡改而使得用户同时不知不觉地安装了恶意软件,这点几乎没有一家的系统做到了,值得引起高度重视。
(7) 鉴于中国用户不容易记住英文域名而让使用类似域名的假冒基金网站有可乘之机,建议各基金的在线交易系统直接使用中文域名(如:招商基金.cn, 中文.com 或 中文.cn ),并为中文域名部署支持中文域名的 SSL 证书。推荐选购全球独家支持中文域名和基金公司中文名称的 WoSign SGC超真SSL 证书。
请看我们的具体调查结果:
基金名称 |
是否部署
SSL 证书
|
证书颁发
机构(CA) |
是否有密码
安全控件 |
是否支持
USB Key |
实际页面截图 |
招商基金 |
是 |
VeriSign
|
无 |
否
|
国内版 VeriSign SSL 证书 |
大成基金 |
是 |
WoSign |
无 |
否 |
不支持 强制 128 位加密 |
中海基金 |
是 |
自签证书 |
无 |
否 |
1. SSL证书是自签证书,会被 IE 阻止运行
2. SSL证书不支持强制 128 位加密 |
博时基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
长信基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
嘉实基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
富国基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
鹏华基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
长盛基金 |
是 |
CFCA |
无 |
否 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. CFCA 的 SSL证书不支持强制128 位加密 |
宝盈基金 |
是 |
SZCA |
无 |
否 |
1. SZCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SZCA 的 SSL证书不支持强制128 位加密 |
国泰基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
华富基金 |
是 |
SHECA |
无 |
否 |
1. SHECA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SHECA 的SSL证书不支持强制128 位加密 |
泰达荷银基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
上投摩根基金 |
是 |
GeoTrust |
无
|
否 |
1. SSL证书只验证域名所有权,不显示公司名称
2. 不支持强制 128 位加密 |
华宝兴业基金 |
是 |
GeoTrust |
无 |
否 |
1. SSL 证书只验证域名所有权,不显示公司名称
2. 不支持强制 128 位加密 |
中银国际基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
华夏基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
银华基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
银河基金 |
是 |
自签证书 |
无 |
否 |
1. SSL 证书是自签证书,并且已经过期,会被 IE 阻止运行
2. SSL 证书不支持强制 128 位加密 |
万家基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
泰信基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
工银瑞信基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
诺安基金 |
是 |
CFCA |
无 |
无 |
1. CFCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. CFCA 的 SSL证书不支持强制128 位加密 |
易方达基金 |
是 |
SHECA |
无 |
无 |
1.SHECA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2.SHECA 的 SSL证书不支持强制128 位加密 |
汇丰晋信基金 |
是 |
VeriSign |
无 |
否 |
|
广发基金 |
是 |
SZCA |
无 |
无 |
1. SZCA 证书需要用户安装根证书,否则 IE 浏览器会阻止运行
2. SZCA 的 SSL证书不支持强制128 位加密 |
光大保德信基金 |
是 |
GeoTrust |
无 |
否 |
1. SSL 证书只验证域名所有权,不显示公司名称
2. 不支持强制 128 位加密 |
中欧基金 |
是 |
VeriSign |
无 |
否 |
国内版 VeriSign SSL 证书 |
WoSign 作为国内领先的信息安全服务提供商愿意免费为各基金公司提供数字证书相关的技术咨询和技术支持,并愿意优惠提供各种数字证书产品 ( 包括 VeriSign 原版 SSL 证书 ) ,以便各基金能尽快及时改进不足,完善其信息安全保护系统,让广大网上基金用户真正放心使用。欢迎尽快联系我们。
|
