随着各大主流浏览器对HTTP网站的不友好,全球互联网超50%的网站流量启用HTTPS加密。然而,100%的加密环境,就等于安全吗?借助缺乏真实身份认证的免费DV SSL证书,越来越多的恶意软件、钓鱼网站转向100%加密,从而逃避安全工具检测、欺骗用户信任。
由于申请DV SSL证书只需要验证域名管理权限,不需要验证网站真实身份,攻击者可以申请一个与真实网站相似的域名,然后为该仿冒网站部署一个DV SSL证书,就能实现https加密,并能消除地址栏“不安全”的警告。而且人们已经习惯性的认为部署了SSL证书的网站就是安全的,使得不法分子利用DV SSL证书进行诈骗更容易使用户上当受骗。
DV SSL证书有何缺陷?
SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。由于网站身份认证成本较高,最初的SSL证书应用推广进程缓慢。DV SSL证书简化了身份认证流程,仅验证域名即可颁发证书,大大降低了证书成本,受到市场广泛欢迎。
但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。存在功能缺陷的DV SSL证书,虽然推动了HTTPS加密的广泛应用,但也成为了黑客利用的工具。普及DV SSL证书不仅无法实现互联网安全可信,反而为网络攻击提供了隐藏之地,让互联网安全更加岌岌可危。
企业网站如何保护用户免受钓鱼攻击?
合法的企业网站可以为网站部署OV SSL证书或EV SSL证书来防范钓鱼网站,这两种SSL证书除了验证域名管理权限外,都需要严格的审查网站的真实身份后才能颁发。
尤其是EV SSL证书需要通过极其严格的审查网站企业身份,使得犯罪分子很难获得该证书,且EV SSL证书可以直接在浏览器地址栏显示单位名称,可使用户一眼识别网站真实身份,避免被钓鱼网站攻击,从而有助于增加用户对网站的信任度和提升企业形象以及增加网站在线交易量。
而OV SSL证书可以通过点击挂锁图标,在证书详情中查看公司名称,从而来确认网站的真实身份。
网民该如何识别钓鱼网站?
1、在过去只要有小锁标志就是安全的,但是现在必须检查小锁。点击小锁查看证书详情,查看是哪个CA机构颁发的证书,要是受信任的颁发机构,自然是没有问题的。
而且如果是OV和EV证书,还可以说明网站的身份已经经过审查,对访问者也是一种额外的保护。
2、仔细查看地址栏并仔细阅读地址,确保是你要访问的网站。
但是这并不是说使用DV SSL证书的网站就不能被信任,只是要仔细检查上面这些内容。天威诚信提醒您很多使用DV SSL证书的网站都运行的很好,只是您要以防遇到使用DV SSL证书的不法分子网站。