近网上有消息称美国联邦调查局(FBI)近日向网民发出警告,基于HTTPS的网站并非都是安全的。
为什么?https 不是经过加密的吗?数据信息不是有安全保障吗?
虽然很多人都认为基于HTTPS加密传输协议的网站(浏览器地址栏处有个小锁符号),代表着该站的流量是被加密的,传输应该有保障。可是实际上,很多骇客早已开始利用人们对HTTPS的信赖,进而发起钓鱼攻击了。
首先我们来分析一下SSL证书的种类:
类:DVSSL证书,俗称域名验证型SSL证书。
在线申请链接:https://www.sslzhengshu.com/validation/dv-ssl.html
这类证书只验证域名的管理权限即可申请。也就是说,你只要证明这个域名归你所有或者归你管理,那么就可以轻易拿到证书。这类证书不会验证申请者其他的身份。那么问题就在这里,一些做钓鱼攻击或者其他不法行为的网站运营者也可以拿到证书,让人们因为他的网站是https网站而放松警惕。
HTTPS是在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。但FBI表示,这些骇客的网钓手法通常是通过电子邮件将人们诱导至被误认为安全的HTTPS网站,再伺机窃取使用者的敏感数据。
因此,使用者好不要轻信电子邮件的名称,应进一步查看电子邮件的内容意图。如果收到了来自已知联络人的邮件,也不要盲目点击电子邮件内的任何可疑链接,而应该通过其他方式联系他进行确认。
此外,使用者也应该检查邮件中涉及的外链网址名称是否有异,例如以.com取代.gov之类的。千万不要只因其使用HTTPS协议就掉以轻心,因为它可能根本只是骇客用来混淆视听的手法罢了。
第二类:OVSSL证书,俗称企业型SSL证书。
在线申请链接:https://www.sslzhengshu.com/validation/ov-ssl.html
这类证书除了验证域名的管理权限之外,还会验证申请者真实身份。也就是说不仅实现了网站的https加密,而且持有https加密证书的所有者是什么身份也一同被验证。理论上讲部署有这种证书的网站是更加的。
但是,对于普通的人来讲,只知道https,并不知道哪个是DVSSL,哪个是OVSSL。所以,在一定程度上,辨识度不高。
第三类:EVSSL证书,俗称增强型SSL证书。
在线申请链接:https://www.sslzhengshu.com/validation/ev-ssl.html
这类证书除了具有前面两类证书的验证环节之外,有着更加严格的鉴证标准。给网民带来大的改变就是在浏览器地址栏,会直接显示证书持有者身份,如下图所示:
如果网民看到这样的不仅具有https,而且还能看到网站主办者名称显示在浏览器地址栏,则毫无疑问,该网站是经过严格鉴证之后的网站,请放心访问。
所以,环度SSL证书网建议,如果您是企事业等单位组织,为了让您的网站在您的用户面前有很好的识别度,建议您申请EVSSL证书。
