在社会高度数字化的今天,我们能够实现在互联网畅游,随时通过网络获取信息、资讯,这一切都得益于万维网的建立。网络诞生的初衷是让全球各地的人们合作解决世界性问题,互联网的快速发展一方面也的确给生活带来质的变化,但另一方面,信息泄露频发也带来了严重的安全威胁。在网络发展初期,最初被用于从万维网服务器传输超文本到本地浏览器的传送协议HTTP并不具备任何数据加密、身份校验等机制,使用HTTP协议传递的数据通常以明文形式在网络中传输,这就意味这任意节点的第三方都有可能劫持流量、篡改数据或窃取信息。
HTTPS诞生之初就是为了解决数据的传输安全问题,基于HTTP协议明文传输、安全性较低,数据泄露风险较大的缺陷,HTTPS则是在HTTP基础上做了传输加密,即在HTTP下加入SSL安全层,保证了数据传输的安全性,简单来说HTTPS就是HTTP的安全版。
近年来,随着数据安全愈发受到重视,HTTPS已经被广泛采纳,2014年,Google宣布将HTTPS作为衡量搜索引擎优化 (SEO) 的排名因素,随后百度也在2016年5月宣布HTTPS网站具有排名优先权,现如今,用户浏览的网站也以HTTPS居多。而作为HTTPS的直接体现,网站URL中的绿色挂锁代表该网站的安全性已成为一个被广为接受的事实,以至于一些用户对带锁标网站的安全性深信不疑,甚至用网站锁标来评判某网站的安全性。
然而判断网站是否安全的标准绝不是带锁与否,在一项针对钓鱼网站的调查中发现,部分钓鱼网站URL中也存在“绿色锁头”,这就意味着用户如果只通过URL前的锁头来判断网站的安全性,就很容易成为钓鱼网站的目标。
绿色锁头标志是否代表网站的安全性?答案显然是否定的,不可否认的是,作为加密数据传输的HTTPS的确是鉴别钓鱼网站的方式之一,但给钓鱼网站披上绿色锁头标志并不是多复杂的事,毕竟从HTTP到HTTPS的差别仅仅是一张SSL证书,而申请证书也并不复杂。按照验证方式,SSL证书可以分为 DV、OV、EV 三种,这三种SSL证书的验证严格程度依次递增。OV SSL证书会验证域名和网站背后的运营者单位,除了加强了网站的安全性之外,还让网站运营者身份得到了确认,EV SSL证书在OV的基础上验证更为全面,并且在一些浏览器地址栏上会直接显示单位名称,申请这类证书较为严苛,企业需要提供的信息数据相对较多,审核也更严格。 而申请一张DV SSL证书则要简单的多,同前者相比,DV SSL证书最大区别就在于其验证信息的差异。一般来说申请DV SSL证书不需要提供太多信息,甚至不包括企业名称信息,申请步骤也简单,用户在查看证书详情时往往只能看到域名单位等基础信息。
这种申请审核的不同让钓鱼网站有空可钻,即网站挂锁头也不再表示该站点是百分百安全的,它只是传达了一个事实,浏览器和网站之间交换的信息是加密的,第三方无法截取站点和服务器之间传递的信息,但这并不代表攻击者不能通过其他途径骗取目标信任从而获取机密信息。通过对部分带锁钓鱼网站的研究发现,部分攻击者利用相似域名,再通过申请DV证书让钓鱼网站也正大光明的披上安全“挂锁”标志来实施钓鱼,报告显示在安全锁和仿真页面的加持下,多数用户难以辨别该网站的真实性。调查同时也暴露了另一个问题,多数用户对网站安全性的考量方式存在问题,即他们认为如果在访问的网站上看到绿色挂锁,那么该网站是安全的。
虽然网站的锁头标志并不能成为评判站点百分百安全的依据,不过相比之下,为网站部署更严谨的OV SSL证书或EV SSL证书对企业来说仍是最好的防范手段之一,毕竟这两种SSL证书除了验证域名管理权限外,都需要严格的审查网站的真实信息后才能颁发。尤其EV SSL证书需要通过极其严格的审查网站企业身份,攻击者很难获得该证书,且EV SSL证书可以直接在浏览器地址栏显示单位名称,可使用户一眼识别网站真实信息,避免被钓鱼网站迷惑,从而有助于增加用户对网站的信任度和提升企业形象以及增加网站在线交易量。
4093
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
