信息安全是一个庞大的领域,其中涉及到很多知识点,但是大多公司都对其没有提及足够的重视,希望随着国内对于安全的越来越重视以及各大主流浏览器对http网站的不友好,更多的公司也能在信息安全领域投入越来越多的注意。
然而,网络罪犯为了更好的实施欺诈,越来越多的钓鱼网站也开始使用SSL证书实现https加密。
安装SSL证书是为了对数据进行加密传输,保护数据在传输过程中不被监听、截取和篡改以及验证网站身份,防止受到钓鱼网站的攻击。由于申请DVSSL证书只需要验证域名管理权限,不需要验证网站真实身份,攻击者可以申请一个与真实网站相似的域名,然后为该仿冒网站部署一个DVSSL证书,就能实现https加密,并能消除地址栏“不安全”的警告。
部署了SSL证书的网站地址栏会显示“连接是安全的”,如图所示:
由于人们已经习惯性的认为部署了SSL证书的网站就是安全的,使得不法分子利用DVSSL证书进行诈骗更容易使用户上当受骗。
企业网站可采取哪种措施来保护用户免受钓鱼攻击?
合法的企业网站可以为网站部署OVSSL证书或EVSSL证书来防范钓鱼网站,这两种SSL证书除了验证域名管理权限外,都需要严格的审查网站的真实身份后才能颁发。
尤其是EVSSL证书需要通过极其严格的审查网站企业身份,使得犯罪分子很难获得该证书,且EVSSL证书可以直接在浏览器地址栏显示单位名称,可使用户一眼识别网站真实身份,避免被钓鱼网站攻击,从而有助于增加用户对网站的信任度和提升企业形象以及增加网站在线交易量。
而OVSSL证书可以通过点击挂锁图标,在证书详情中查看公司名称,从而来确认网站的真实身份。
用户该如何识别欺诈网站呢?
1、在过去只要有小锁标志就是安全的,但是现在必须检查小锁。点击小锁查看证书详情,查看是哪个CA机构颁发的证书,要是受信任的颁发机构。如果是OV和EV证书,还可以说明网站的身份已经经过审查,对访问者也是一种额外的保护。
2、仔细查看地址栏并仔细阅读地址,确保是你要访问的网站。
但是这并不是说使用DVSSL证书的网站就不能被信任,但要仔细检查上面这些内容。很多使用DVSSL证书的网站都运行的很好,只是以防遇到使用DVSSL证书的不法分子网站。
