HTTPS是李逵还是李鬼?全看你用啥证书

专题库
陈硕 来源:中国电子银行网 2017-04-13 09:39:37 HTTPS证书 信息安全

核心提示网站安全公司Wordfence最近发布的一篇网站证书安全报告表明,有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书,当用户访问网站时,浏览器会将其标记为“安全”。

  “钓鱼”网站居然也有HTTPS

  由于信息泄露、流量劫持、“钓鱼”网站等不安全现象在网络上泛滥,HTTPS这一网络传输加密协议得到越来越多的应用。我们也逐步在潜意识中达成这样一种认知,即只要有这种标识HTTPS是李逵还是李鬼?全看你用啥证书出现,就说明网页已经过HTTPS加密保护,可以安心访问,输入账户、密码这些敏感信息时也不用担心被泄露。但看过下面这两个例子后……

  看,这短信内容就透着一股套路,而附带的HTTPS链接实为“钓鱼”链接。

HTTPS是李逵还是李鬼?全看你用啥证书

  下面这个链接看似很安全,但实际却是一个假冒谷歌Play商店的钓鱼网站。仔细观察,你会发现网址中包含两个“.com”,而谷歌Play商店的真实网址是——https://play.google.com/store

HTTPS是李逵还是李鬼?全看你用啥证书

  为什么“钓鱼”网站也能显示HTTPS?难道HTTPS也有假的?我们又该如何防范呢?

  “钓鱼”网站是如何用上HTTPS的

  如果一家网站想实现HTTPS,就必须安装SSL证书。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理SSL证书。当网站申请SSL证书时,通常要向CA提供域名所有者的身份证明资料(如企业营业执照、组织机构代码证等)等,经过CA人工审核通过并支付一定费用后才可颁发,这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核,黑客基本不可能得到OV或EV证书,但免费SSL证书的出现让黑客获得了可乘之机。

  因为申请免费证书时不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以为自己拥有的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生。此时的HTTPS仍可起到加密传输的作用,但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器,加密的保护意义也随之丧失。

  如何防范虚假HTTPS

  网站安全公司Wordfence最近发布的一篇网站证书安全报告表明,有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书,当用户访问网站时,浏览器会将其标记为“安全”。那么,面对这种情况,我们又该如何识别、防范虚假HTTPS呢?

  其实也很简单,就是网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。例如下图所示网站就安装了由中国金融认证中心(CFCA)颁发的OV证书,当你点击地址栏中的锁型图标时,如果显示网站身份经CFCA认证,即说明该网站证书、身份真实可靠,不用再担心碰到假的HTTPS啦。

HTTPS是李逵还是李鬼?全看你用啥证书

  而如果是EV证书,则无需任何操作,网站真实性如下图这样一目了然。

HTTPS是李逵还是李鬼?全看你用啥证书

  最后要特别强调的是,上述问题的产生与HTTPS加密协议无关,而是黑客利用免费证书钻了空子,此类情况也属于极个别现象,所以我们仍可对HTTPS充满信心,HTTPS网站的整体安全性依然远高于非HTTPS网站,推进HTTPS在全网普及的脚步也绝不能停歇。

  如果您希望了解更多与HTTPS和SSL证书相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。  

责任编辑:韩希宇

为你推荐

    暂无相关推荐

    点击加载

    合作媒体

    中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网

    微信

    QQ

    微博