随着各大主流浏览器对http网站的不友好,网络罪犯为了很好的实施欺诈,越来越多的钓鱼网站也开始使用SSL证书实现https加密。
然而,企业可以采取一些措施来保护他们的客户不成为欺诈的受害者。
由于申请DVSSL证书只需要验证域名管理权限,不需要验证网站真实身份,攻击者可以申请一个与真实网站相似的域名,然后为该仿冒网站部署一个DVSSL证书,就能实现https加密,并能消除地址栏“不安全”的警告。
部署了SSL证书的网站地址栏会显示“连接是安全的”,如图所示:
由于人们已经习惯性的认为部署了SSL证书的网站就是安全的,使得不法分子利用DVSSL证书进行诈骗更容易使用户上当受骗。
企业网站可采取哪种措施来保护用户免受钓鱼攻击?
合法的企业网站可以为网站部署OVSSL证书或EVSSL证书来防范钓鱼网站,这两种SSL证书除了验证域名管理权限外,都需要严格的审查网站的真实身份后才能颁发。
尤其是EVSSL证书需要通过较其严格的审查网站企业身份,使得犯罪分子很难获得该证书,且EVSSL证书可以直接在浏览器地址栏显示单位名称,可使用户一眼识别网站真实身份,避免被钓鱼网站攻击,从而有助于增加用户对网站的信任度和提升企业形象以及增加网站在线交易量。
而OVSSL证书可以通过点击挂锁图标,在证书详情中查看公司名称,从而来确认网站的真实身份。
