部署了SSL证书的网站就安全吗?vTrus提醒您小心钓鱼网站
随着SSL证书的普及,网络上大大小小的网站基本都部署了SSL证书升级HTTPS加密,不过值得我们警惕的是,许多不法分子为了令钓鱼网站与官方网站更加相似以更好的实施钓鱼攻击,纷纷为假冒钓鱼网站部署了SSL证书以达到迷惑网站用户的效果。
这种情况出现的原因是由于免费SSL证书的出现。目前市面上的免费SSL证书大多为域名型DV证书,域名型DV证书的申请无需严格的认证,只需要验证域名所有权就能取得SSL证书,这大大方便了不法分子。不法分子通过申请一个和真实网站近似的域名,然后为该假冒钓鱼网站申请一个域名型DV SSL证书,这样一来,用户在访问该钓鱼网站时就不会收到来自浏览器的不安全警告。
免费SSL证书
部署了SSL证书的网站,用户在点击浏览器地址栏的安全锁时会看到连接是安全的的提示,但是连接是安全的就代表该网站是安全的了吗?
这就是许多用户对连接是安全的的误区所在,目前许多用户对于SSL证书还不够了解,导致用户在看到浏览器此类提示时就会错误地以为该网站是安全的,其实不然,连接是安全的仅能说明你与网站所传输的数据是经过加密的,但是并不代表你访问的这个网站是真正的官方网站。
但在狡猾的不法分子面前,用户显然处于信息的弱势方,那么,企业在面对部署了SSL证书的假冒钓鱼网站时应该如何应对?别着急,目前有多种防范措施可以提供给企业以有效保护用户的利益不被钓鱼攻击所侵害。
企业可以采取什么措施来应对钓鱼攻击的威胁?
天威诚信提醒您既然不法分子可以申请域名型DV SSL证书,那企业可以通过申请个人无法申请的企业型OV SSL证书或增强型EV SSL证书来应对日益增长的HTTPS钓鱼网站,这两种SSL证书仅向企业开放申请,即使不法分子想要蒙混过关进行申请,也会因无法通过CA机构严格的身份审查而被拒绝,可以有效应对部署了SSL证书的钓鱼网站的威胁。
除此之外,企业型OV SSL证书或增强型EV SSL证书均包含了企业的相关信息,用户通过查看SSL证书的详细内容都可以看到网站所属企业的名称,从而确定自己访问的网站是否为真实的官方网站。
倘若企业选择部署增强型EV SSL证书,则可以直接在浏览器的地址栏中显示企业的名称,用户第一眼就能看到网站所属企业的名称,省略了查看SSL证书详细信息的步骤,能进一步增加用户的信任感。
-
上一篇
这种情况出现的原因要归因于免费SSL证书的出现。虽然免费证书的出现是为了帮助互联网服务不足的部分,但是目前市面上的免费SSL证书大多为域名型DV证书,我们不得不改变以往看待网络安全的方式。
首先我们要知道的是域名型DV证书的申请无需经过严格的认证,只需要验证域名所有权就能取得SSL证书,这大大方便了不法分子。他们只需通过申请一个和真实网站近似的域名,然后为该假冒钓鱼网站申请一个域名型DV SSL证书,用户在访问该钓鱼网站时自然就不会收到来自浏览器的不安全警告。
归根结底在于有许多用户对于SSL证书还不够了解,导致用户在看到浏览器连接是安全的提示时就会错误地以为该网站是安全的,其实不然,连接是安全的仅能说明你与网站所传输的数据是经过加密的,但是并不代表你访问的这个网站是真正的官方网站。
用户作为信息的弱势方,企业可以采取什么样的防范措施来有效保护其用户的个人利益不被钓鱼攻击所侵害呢?
SSL证书=安全?小心,别错漏了TA……
-
下一篇
免费SSL证书和付费SSL证书有区别?如何选择?
免费证书和商业证书区别在哪?