我們平常說某個網站采用了HTTPS,實際上指的是網站采用了服務器端證書(例如安裝部署了versign的證書),此時侯只做到了單向信任(客戶端驗證服務器端身份的真實性),並未做到雙向信任(服務器信任客戶端,客戶端信任服務器)。
只采用服務器證書的方式,雖然可以保證通訊鏈路的安全,但無法保證客戶端身份的真實性,因此無法真正意義上保證所謂真實性、完整性、防抵賴、防篡改。例如有壹筆交易,假定只依賴於密碼體系,用戶是可以否認交易是自己發起的。
為了鑒別客戶身份的真實性,采用數字證書來進行數字簽名是壹種有效的方式,但需要額外管理維護成本(例如內部CA體系的搭建、客戶端數字證書的申請、發放、註銷等管理維護需求)。更具體的內容可以參考壹下PKI體系及CA體系。回到題主問題,為何國外像paypal、stripe等只需要服務器端證書即可,並未要求用戶申請安裝客戶端數字證書,我覺得原因有幾個:
1、國內惡劣的網絡安全環境現實要求
雖然即便采用數字證書、安全控件等手段,也無法規避形形色色的安全問題。但某種意義上用戶對支付平臺的信心確實是“比黃金還貴重”。因此第三方支付千方百計地使用包括數字證書在內的各種技術,給用戶以安全的感覺,打消使用在線支付的顧慮,這在電子商務初期市場培育時候至關重要,觀念和習慣養成後就成為事實上的標準。另外壹方面數字證書作為法律認可的電子簽名手段,也可以壹定程度上維護第三方支付、銀行的利益。
2、第三方支付牌照檢測要求
在牌照檢測中,強制要求第三方支付必須支持數字證書、安全控件、安全鍵盤等多重安全措施。而國外(主要還是歐美)的網絡環境相對安全,信用體系也較為完善,違法成本相對較高,持卡人及信用卡商在網絡支付的安全顧慮及安全需求不像國內那樣強烈,因此也就沒必要搞些這些相對復雜、投入較大,但效果不壹定明顯的措施。