4006-555-883

DV SSL证书正在成为钓鱼网站的“好搭档”,如何识别?

发布时间:2019-12-18 10:30:00

  随着各大主流浏览器对HTTP网站的不友好,全球互联网超50%的网站流量启用HTTPS加密。然而,100%的加密环境,就等于安全吗?借助缺乏真实身份认证的免费DV SSL证书,越来越多的恶意软件、钓鱼网站转向100%加密,从而逃避安全工具检测、欺骗用户信任。

  由于申请DV SSL证书只需要验证域名管理权限,不需要验证网站真实身份,攻击者可以申请一个与真实网站相似的域名,然后为该仿冒网站部署一个DV SSL证书,就能实现https加密,并能消除地址栏“不安全”的警告。而且人们已经习惯性的认为部署了SSL证书的网站就是安全的,使得不法分子利用DV SSL证书进行诈骗更容易使用户上当受骗。



  DV SSL证书有何缺陷?

  SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。由于网站身份认证成本较高,最初的SSL证书应用推广进程缓慢。DV SSL证书简化了身份认证流程,仅验证域名即可颁发证书,大大降低了证书成本,受到市场广泛欢迎。

  但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。存在功能缺陷的DV SSL证书,虽然推动了HTTPS加密的广泛应用,但也成为了黑客利用的工具。普及DV SSL证书不仅无法实现互联网安全可信,反而为网络攻击提供了隐藏之地,让互联网安全更加岌岌可危。

  企业网站如何保护用户免受钓鱼攻击?

  合法的企业网站可以为网站部署OV SSL证书或EV SSL证书来防范钓鱼网站,这两种SSL证书除了验证域名管理权限外,都需要严格的审查网站的真实身份后才能颁发。

  尤其是EV SSL证书需要通过极其严格的审查网站企业身份,使得犯罪分子很难获得该证书,且EV SSL证书可以直接在浏览器地址栏显示单位名称,可使用户一眼识别网站真实身份,避免被钓鱼网站攻击,从而有助于增加用户对网站的信任度和提升企业形象以及增加网站在线交易量。

  而OV SSL证书可以通过点击挂锁图标,在证书详情中查看公司名称,从而来确认网站的真实身份。



  网民该如何识别钓鱼网站?

  1、在过去只要有小锁标志就是安全的,但是现在必须检查小锁。点击小锁查看证书详情,查看是哪个CA机构颁发的证书,要是受信任的颁发机构,自然是没有问题的。

  而且如果是OV和EV证书,还可以说明网站的身份已经经过审查,对访问者也是一种额外的保护。

  2、仔细查看地址栏并仔细阅读地址,确保是你要访问的网站。

  但是这并不是说使用DV SSL证书的网站就不能被信任,只是要仔细检查上面这些内容。天威诚信提醒您很多使用DV SSL证书的网站都运行的很好,只是您要以防遇到使用DV SSL证书的不法分子网站。

最新发布
1
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2
SSL证书选便宜的还是贵的?
3
关于“Geotrust”品牌证书不信任误解读声明
4
央企密码中台建设:高效与安全并存的数字化转型必然选择
5
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
6
Digicert全球价格调整策略-中国区市场指导价格执行通知
7
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
8
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
9
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
10
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
相关推荐
SSL证书选便宜的还是贵的?
关于“Geotrust”品牌证书不信任误解读声明
央企密码中台建设:高效与安全并存的数字化转型必然选择
Digicert全球价格调整策略-中国区市场指导价格执行通知
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏