首页 > 钓鱼用品 > 鱼饵

使用OV或EV SSL证书,抵御钓鱼网站威胁

鱼饵钓友圈2023-06-18 18:37:25A+A-

免费SSL证书帮助合法网站更加快速、低成本地实现HTTPS加密,防止中间人攻击和非法窃听,但也极易遭钓鱼网站利用。此前,用户是通过HTTPS判断真实网站,现在假冒网站也用上了HTTPS,用户该如何判断呢?HTTPS加密提升了网站数据传输安全,但只有充分利用网站身份信息才能抵御钓鱼网站威胁。

充分利用网站身份信息,抵御钓鱼网站

黑客利用免费SSL证书配置网络钓鱼或恶意软件分发等恶意网站,而部分浏览器对所有有效的HTTPS连接都显示“安全”,相似度极高的仿冒域名结合HTTPS安全锁以及浏览器显示的“安全”字样,使钓鱼网站看起来“越来越真实”。

图一:被Chrome标记为“安全”的PayPal钓鱼网站

CA安全理事会(CASC)针对业界面临的现状,发起了一项“支持网站身份”的活动,强调在目前的形势下网站身份信息比加密更重要,希望联合CA机构、浏览器厂商及网站所有者,充分利用网站身份信息来抵御恶意站点和钓鱼网站,倡导业界公开支持网站身份五项原则:

TLS/SSL服务器证书中的身份应该被浏览器用作提升用户安全的媒介

CA应该鼓励用户申请和部署更高身份认证级别的证书

OV SSL证书应该得到不同于DV SSL证书的浏览器UI,向用户展示网站身份信息

EV SSL证书应该继续获得独特的绿色地址栏的浏览器UI,区别于OV和DV,向用户展示更高的安全性

浏览器应该商定通用UI安全标识,避免频繁更改UI,并与其他方合作,教育用户了解通用UI的安全标识的含义,提升用户安全性。

申请OV和EV SSL证书需要完成严格的身份验证,用户身份是可以追溯的。所以,几乎没有恶意网站或钓鱼网站会使用OV或EV SSL证书。企业网站应该采用OV以上级别的SSL证书,将自己和假冒网站区分开,让用户可以通过网站身份信息判断网站真实性。浏览器应该将包含网站身份信息的证书(OV和EV SSL证书)与匿名证书(免费 SSL证书)区分开来,采用通用的浏览器UI安全标识显示网站身份,使用直观且易于理解的展示方式,并教育用户认识安全标识的含义。充分利用网站身份信息才是反钓鱼、反恶意网站的最佳防御机制。

普通用户如何判断“安全”网站?

普通用户可能需要警惕,网站使用免费SSL证书仅表示网站加密传输数据,并不意味着它是一个合法的网站,或者它实际上是它声称的那个网站。通过OV或EV SSL证书中展示的更加详细的网站真实身份信息,才能更加准确地进行判断。

图二:EV SSL证书显示详细的网站身份信息

一般的浏览器可以点击安全锁,找到查看证书详细信息的入口。如果网站使用了EV SSL证书,不用点击安全锁,就能从地址栏直观查看网站所属单位的名称及醒目绿色地址栏。

图三:360/IE/Firefox浏览器查看SSL证书信息

新版Chrome浏览器隐藏了SSL证书的详细信息和查看入口,需要通过F12调出开发者工具,在Secrity标签下查看证书详细信息。

图四:Chrome 56查看SSL证书信息

塑造企业网站可信形象

沃通超真SSL Pre和超安SSL Pre严格验证网站真实身份,帮助企业级用户抵御钓鱼网站仿冒的风险,塑造企业网站可信形象,防止终端用户遭遇网络钓鱼或恶意软件的侵害。沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统,支持各种新老移动终端。沃通提供细致的本地化客户服务和专业的一对一技术支持,十余年的证书行业服务经验,帮助用户应对各类复杂应用场景,更加快捷地完成证书部署。

点击这里复制本文地址 以上内容由趣钓网整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

相关内容

模板文件不存在: ./template/plugins/comment/pc/index.htm

Copyright © 2012-2024 趣钓网 版权所有

钓鱼比赛视频 | 高手钓鱼视频 | 海钓视频 | 台钓视频 | XML地图 | HTML地图

qrcode
返回顶部
X趣钓网

截屏,微信识别二维码

微信号:

(点击微信号复制,添加好友)

  打开微信

微信号已复制,请打开微信添加咨询详情!