时间:2022-07-11 07:09:02 | 来源:建站知识
时间:2022-07-11 07:09:02 来源:建站知识
如今这个时代,上网已经成为在平常不过的事情,而越来越多的网站主为了保护用户的上网隐私安全选择申请SSL证书,而免费SSL证书的出现让很多网站所有者偷着乐了一把,但是,这样的“免费午餐”要不要吃呢?
如果不说你一定不知道,“钓鱼”网站竟然也会用HTTPS,这时你一定会说,HTTPS不是可以防止“钓鱼”网站的吗?在我们的潜意识中已经形成了这样一种认知,只要有HTTPS标识出现的就说明网站已经通过HTTPS加密了,就能放心的访问,甚至是输入账号密码等敏感信息了。但看看下面这两个例子,你就知道了“免费午餐”不好吃也不能吃的道理了。
看,这短信内容就透着一股套路,而附带的HTTPS链接实为“钓鱼”链接。如果点击进入你的信息就会被泄露了。
下面这个链接看似很安全,但实际却是一个假冒谷歌Play商店的钓鱼网站。仔细观察,你会发现网址中包含两个“.com”,而谷歌Play商店的真实网址是
为什么“钓鱼”网站也能显示HTTPS?难道HTTPS也有假的?我们又该如何防范呢?“钓鱼”网站是如何用上HTTPS的。
网站如果想实现HTTPS,就必须安装SSL证书。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理SSL证书。当网站申请SSL证书时,通常要向CA提供域名所有者的身份证明资料(如企业营业执照、组织机构代码证等),经过CA人工审核通过并支付一定费用后才可颁发,这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核,黑客基本不可能得到OV或EV证书,但免费SSL证书的出现让黑客有了可乘之机。
因为申请免费证书时不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以给自己的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生。此时的HTTPS仍可起到加密传输的作用,但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器,加密的保护意义也随之丧失。
如何防范虚假HTTPS
网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。例如下图所示天威诚信的网站就安装了Symantec颁发的SSL证书,当你点击地址栏中的锁型图标时,显示网站身份经Symantec认证,说明该网站证书、身份真实可靠。通过确认CA的真实性及证书的真实性,就可以放心的进行访问了,不用再担心碰到假的HTTPS了。
最后要特别强调的是,上述问题的产生与HTTPS加密协议无关,而是黑客利用免费证书钻了空子,此类情况也属于极个别现象,对于HTTPS的加密功能我们还是充满信心的,HTTPS网站的整体安全性依然远高于非HTTPS网站,推进HTTPS在全网普及的脚步也绝不能停歇,而大型企业类网站一定不要选择“免费”午餐,用户在访问网站时也一定要仔细辨别SSL证书,这样才能更有效的保障用户的数据安全。
关键词:免费,注意,关键,证书,选择
在线咨询
