“钓鱼”网站居然也有HTTPS
由于信息泄露、流量劫持、“钓鱼”网站等不安全现象在网络上泛滥,HTTPS这一网络传输加密协议得到越来越多的应用。我们也逐步在潜意识中达成这样一种认知,即只要有这种标识出现,就说明网页已经过HTTPS加密保护,可以安心访问,输入账户、密码这些敏感信息时也不用担心被泄露。但看过下面这两个例子后……
看,这短信内容就透着一股套路,而附带的HTTPS链接实为“钓鱼”链接。
下面这个链接看似很安全,但实际却是一个假冒谷歌Play商店的钓鱼网站。仔细观察,你会发现网址中包含两个“.com”,而谷歌Play商店的真实网址是——https://play.google.com/store
为什么“钓鱼”网站也能显示HTTPS?难道HTTPS也有假的?我们又该如何防范呢?
“钓鱼”网站是如何用上HTTPS的
如果一家网站想实现HTTPS,就必须安装SSL证书。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理SSL证书。当网站申请SSL证书时,通常要向CA提供域名所有者的身份证明资料(如企业营业执照、组织机构代码证等)等,经过CA人工审核通过并支付一定费用后才可颁发,这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核,黑客基本不可能得到OV或EV证书,但免费SSL证书的出现让黑客获得了可乘之机。
因为申请免费证书时不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以为自己拥有的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生。此时的HTTPS仍可起到加密传输的作用,但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器,加密的保护意义也随之丧失。
如何防范虚假HTTPS
网站安全公司Wordfence最近发布的一篇网站证书安全报告表明,有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书,当用户访问网站时,浏览器会将其标记为“安全”。那么,面对这种情况,我们又该如何识别、防范虚假HTTPS呢?
其实也很简单,就是网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。例如下图所示网站就安装了由中国金融认证中心(CFCA)颁发的OV证书,当你点击地址栏中的锁型图标时,如果显示网站身份经CFCA认证,即说明该网站证书、身份真实可靠,不用再担心碰到假的HTTPS啦。
而如果是EV证书,则无需任何操作,网站真实性如下图这样一目了然。
最后要特别强调的是,上述问题的产生与HTTPS加密协议无关,而是黑客利用免费证书钻了空子,此类情况也属于极个别现象,所以我们仍可对HTTPS充满信心,HTTPS网站的整体安全性依然远高于非HTTPS网站,推进HTTPS在全网普及的脚步也绝不能停歇。
如果您希望了解更多与HTTPS和SSL证书相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。
本文转自d1net(转载)