使用OV或EV SSL证书，抵御钓鱼网站威胁

免费SSL证书帮助合法网站更加快速、低成本地实现HTTPS加密，防止中间人攻击和非法窃听，但也极易遭钓鱼网站利用。此前，用户是通过HTTPS判断真实网站，现在假冒网站也用上了HTTPS，用户该如何判断呢？HTTPS加密提升了网站数据传输安全，但只有充分利用网站身份信息才能抵御钓鱼网站威胁。

充分利用网站身份信息，抵御钓鱼网站

黑客利用免费SSL证书配置网络钓鱼或恶意软件分发等恶意网站，而部分浏览器对所有有效的HTTPS连接都显示“安全”，相似度极高的仿冒域名结合HTTPS安全锁以及浏览器显示的“安全”字样，使钓鱼网站看起来“越来越真实”。

图一：被Chrome标记为“安全”的PayPal钓鱼网站

CA安全理事会（CASC）针对业界面临的现状，发起了一项“支持网站身份”的活动，强调在目前的形势下网站身份信息比加密更重要，希望联合CA机构、浏览器厂商及网站所有者，充分利用网站身份信息来抵御恶意站点和钓鱼网站，倡导业界公开支持网站身份五项原则：

TLS/SSL服务器证书中的身份应该被浏览器用作提升用户安全的媒介

CA应该鼓励用户申请和部署更高身份认证级别的证书

OV SSL证书应该得到不同于DV SSL证书的浏览器UI，向用户展示网站身份信息

EV SSL证书应该继续获得独特的绿色地址栏的浏览器UI，区别于OV和DV，向用户展示更高的安全性

浏览器应该商定通用UI安全标识，避免频繁更改UI，并与其他方合作，教育用户了解通用UI的安全标识的含义，提升用户安全性。

申请OV和EV SSL证书需要完成严格的身份验证，用户身份是可以追溯的。所以，几乎没有恶意网站或钓鱼网站会使用OV或EV SSL证书。企业网站应该采用OV以上级别的SSL证书，将自己和假冒网站区分开，让用户可以通过网站身份信息判断网站真实性。浏览器应该将包含网站身份信息的证书（OV和EV SSL证书）与匿名证书（免费 SSL证书）区分开来，采用通用的浏览器UI安全标识显示网站身份，使用直观且易于理解的展示方式，并教育用户认识安全标识的含义。充分利用网站身份信息才是反钓鱼、反恶意网站的最佳防御机制。

普通用户如何判断“安全”网站？

普通用户可能需要警惕，网站使用免费SSL证书仅表示网站加密传输数据，并不意味着它是一个合法的网站，或者它实际上是它声称的那个网站。通过OV或EV SSL证书中展示的更加详细的网站真实身份信息，才能更加准确地进行判断。

图二：EV SSL证书显示详细的网站身份信息

一般的浏览器可以点击安全锁，找到查看证书详细信息的入口。如果网站使用了EV SSL证书，不用点击安全锁，就能从地址栏直观查看网站所属单位的名称及醒目绿色地址栏。

图三：360/IE/Firefox浏览器查看SSL证书信息

新版Chrome浏览器隐藏了SSL证书的详细信息和查看入口，需要通过F12调出开发者工具，在Secrity标签下查看证书详细信息。

图四：Chrome 56查看SSL证书信息

塑造企业网站可信形象

沃通超真SSL Pre和超安SSL Pre严格验证网站真实身份，帮助企业级用户抵御钓鱼网站仿冒的风险，塑造企业网站可信形象，防止终端用户遭遇网络钓鱼或恶意软件的侵害。沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统，支持各种新老移动终端。沃通提供细致的本地化客户服务和专业的一对一技术支持，十余年的证书行业服务经验，帮助用户应对各类复杂应用场景，更加快捷地完成证书部署。