“釣魚”網(wǎng)站居然也有HTTPS
由于信息泄露、流量劫持、“釣魚”網(wǎng)站等不安全現(xiàn)象在網(wǎng)絡(luò)上泛濫,HTTPS這一網(wǎng)絡(luò)傳輸加密協(xié)議得到越來越多的應(yīng)用。我們也逐步在潛意識(shí)中達(dá)成這樣一種認(rèn)知,即只要有這種標(biāo)識(shí)出現(xiàn),就說明網(wǎng)頁已經(jīng)過HTTPS加密保護(hù),可以安心訪問,輸入賬戶、密碼這些敏感信息時(shí)也不用擔(dān)心被泄露。但看過下面這兩個(gè)例子后……
看,這短信內(nèi)容就透著一股套路,而附帶的HTTPS鏈接實(shí)為“釣魚”鏈接。
下面這個(gè)鏈接看似很安全,但實(shí)際卻是一個(gè)假冒谷歌Play商店的釣魚網(wǎng)站。仔細(xì)觀察,你會(huì)發(fā)現(xiàn)網(wǎng)址中包含兩個(gè)“.com”,而谷歌Play商店的真實(shí)網(wǎng)址是——https://play.google.com/store
為什么“釣魚”網(wǎng)站也能顯示HTTPS?難道HTTPS也有假的?我們又該如何防范呢?
“釣魚”網(wǎng)站是如何用上HTTPS的
如果一家網(wǎng)站想實(shí)現(xiàn)HTTPS,就必須安裝SSL證書。SSL證書是由數(shù)字證書管理機(jī)構(gòu)(簡稱CA)簽發(fā)的,CA是一個(gè)受信任的第三方組織,負(fù)責(zé)發(fā)布和管理SSL證書。當(dāng)網(wǎng)站申請(qǐng)SSL證書時(shí),通常要向CA提供域名所有者的身份證明資料(如企業(yè)營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證等)等,經(jīng)過CA人工審核通過并支付一定費(fèi)用后才可頒發(fā),這些需要人工審核和費(fèi)用的SSL證書被稱為OV或EV證書。由于需要費(fèi)用和人工審核,黑客基本不可能得到OV或EV證書,但免費(fèi)SSL證書的出現(xiàn)讓黑客獲得了可乘之機(jī)。
因?yàn)樯暾?qǐng)免費(fèi)證書時(shí)不再需要人工審核,僅通過系統(tǒng)自動(dòng)匹配域名所有權(quán),匹配成功后即可獲得證書,所以黑客完全可以為自己擁有的域名申請(qǐng)到免費(fèi)證書,再用這個(gè)域名搭建一個(gè)以HTTPS開頭的“釣魚”網(wǎng)站,一個(gè)虛假的HTTPS也就此誕生。此時(shí)的HTTPS仍可起到加密傳輸?shù)淖饔茫畔鬏數(shù)哪康牡貐s由真實(shí)網(wǎng)站的服務(wù)器變成了黑客的“釣魚”服務(wù)器,加密的保護(hù)意義也隨之喪失。
如何防范虛假HTTPS
網(wǎng)站安全公司W(wǎng)ordfence最近發(fā)布的一篇網(wǎng)站證書安全報(bào)告表明,有大量冒充谷歌、微軟、蘋果等知名公司的釣魚網(wǎng)站擁有多個(gè)機(jī)構(gòu)頒發(fā)的SSL證書,當(dāng)用戶訪問網(wǎng)站時(shí),瀏覽器會(huì)將其標(biāo)記為“安全”。那么,面對(duì)這種情況,我們又該如何識(shí)別、防范虛假HTTPS呢?
其實(shí)也很簡單,就是網(wǎng)站一定要使用經(jīng)過正規(guī)第三方CA身份驗(yàn)證的OV機(jī)構(gòu)型或EV增強(qiáng)型證書。例如下圖所示網(wǎng)站就安裝了由中國金融認(rèn)證中心(CFCA)頒發(fā)的OV證書,當(dāng)你點(diǎn)擊地址欄中的鎖型圖標(biāo)時(shí),如果顯示網(wǎng)站身份經(jīng)CFCA認(rèn)證,即說明該網(wǎng)站證書、身份真實(shí)可靠,不用再擔(dān)心碰到假的HTTPS啦。
而如果是EV證書,則無需任何操作,網(wǎng)站真實(shí)性如下圖這樣一目了然。
最后要特別強(qiáng)調(diào)的是,上述問題的產(chǎn)生與HTTPS加密協(xié)議無關(guān),而是黑客利用免費(fèi)證書鉆了空子,此類情況也屬于極個(gè)別現(xiàn)象,所以我們?nèi)钥蓪?duì)HTTPS充滿信心,HTTPS網(wǎng)站的整體安全性依然遠(yuǎn)高于非HTTPS網(wǎng)站,推進(jìn)HTTPS在全網(wǎng)普及的腳步也絕不能停歇。
如果您希望了解更多與HTTPS和SSL證書相關(guān)的信息,請(qǐng)撥打010-59798680或登錄ssl.cfca.com.cn查詢。
京公網(wǎng)安備 11010502049343號(hào)