HTTPS是李逵还是李鬼?全看你用啥证书

本文涉及的产品
.cn 域名,1个 12个月
简介:

“钓鱼”网站居然也有HTTPS

由于信息泄露、流量劫持、“钓鱼”网站等不安全现象在网络上泛滥,HTTPS这一网络传输加密协议得到越来越多的应用。我们也逐步在潜意识中达成这样一种认知,即只要有这种标识出现,就说明网页已经过HTTPS加密保护,可以安心访问,输入账户、密码这些敏感信息时也不用担心被泄露。但看过下面这两个例子后……

看,这短信内容就透着一股套路,而附带的HTTPS链接实为“钓鱼”链接。

 

 

下面这个链接看似很安全,但实际却是一个假冒谷歌Play商店的钓鱼网站。仔细观察,你会发现网址中包含两个“.com”,而谷歌Play商店的真实网址是——https://play.google.com/store

 

 

为什么“钓鱼”网站也能显示HTTPS?难道HTTPS也有假的?我们又该如何防范呢?

“钓鱼”网站是如何用上HTTPS的

如果一家网站想实现HTTPS,就必须安装SSL证书。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理SSL证书。当网站申请SSL证书时,通常要向CA提供域名所有者的身份证明资料(如企业营业执照、组织机构代码证等)等,经过CA人工审核通过并支付一定费用后才可颁发,这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核,黑客基本不可能得到OV或EV证书,但免费SSL证书的出现让黑客获得了可乘之机。

因为申请免费证书时不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以为自己拥有的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生。此时的HTTPS仍可起到加密传输的作用,但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器,加密的保护意义也随之丧失。

如何防范虚假HTTPS

网站安全公司Wordfence最近发布的一篇网站证书安全报告表明,有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书,当用户访问网站时,浏览器会将其标记为“安全”。那么,面对这种情况,我们又该如何识别、防范虚假HTTPS呢?

其实也很简单,就是网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。例如下图所示网站就安装了由中国金融认证中心(CFCA)颁发的OV证书,当你点击地址栏中的锁型图标时,如果显示网站身份经CFCA认证,即说明该网站证书、身份真实可靠,不用再担心碰到假的HTTPS啦。

 

 

而如果是EV证书,则无需任何操作,网站真实性如下图这样一目了然。

 

 

最后要特别强调的是,上述问题的产生与HTTPS加密协议无关,而是黑客利用免费证书钻了空子,此类情况也属于极个别现象,所以我们仍可对HTTPS充满信心,HTTPS网站的整体安全性依然远高于非HTTPS网站,推进HTTPS在全网普及的脚步也绝不能停歇。

如果您希望了解更多与HTTPS和SSL证书相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。


 


  

本文转自d1net(转载)

目录
相关文章
|
5天前
|
Linux Docker Windows
Docker配置https证书案例
本文介绍了如何为Docker的Harbor服务配置HTTPS证书,包括安装Docker和Harbor、修改配置文件以使用证书、生成自签名证书、配置证书以及验证配置的步骤。
12 2
Docker配置https证书案例
|
27天前
|
安全 Apache Windows
WAMP——配置HTTPS证书
WAMP——配置HTTPS证书
46 1
WAMP——配置HTTPS证书
|
14天前
|
安全 网络安全 Windows
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
|
24天前
|
Web App开发
Chrome浏览器导出HTTPS证书
Chrome浏览器导出HTTPS证书
38 0
Chrome浏览器导出HTTPS证书
|
30天前
|
网络协议 安全 网络安全
免费申请 HTTPS 证书的八大方法
免费申请 HTTPS 证书的八大方法
|
2月前
|
安全 Java 网络安全
RestTemplate进行https请求时适配信任证书
RestTemplate进行https请求时适配信任证书
33 3
|
3月前
|
前端开发 小程序 应用服务中间件
在服务器上正确配置域名https证书(ssl)及为什么不推荐使用宝塔申请免费ssl证书
在服务器上正确配置域名https证书(ssl)及为什么不推荐使用宝塔申请免费ssl证书
196 4
|
3月前
|
安全 网络安全 Windows
【Azure App Service】遇见az命令访问HTTPS App Service 时遇见SSL证书问题,暂时跳过证书检查的办法
在访问App Service的KUDU工具或使用`az webapp deploy`时遇到SSL错误:`SSL: CERTIFICATE_VERIFY_FAILED`。解决方法是临时禁用Azure CLI的SSL验证。在PowerShell中,设置`$env:ADAL_PYTHON_SSL_NO_VERIFY`和`$env:AZURE_CLI_DISABLE_CONNECTION_VERIFICATION`为1;在Windows命令提示符中,使用`set AZURE_CLI_DISABLE_CONNECTION_VERIFICATION=1`。注意,这可能引入安全风险,应仅在必要时使用。
|
3月前
|
运维 Java Serverless
Serverless 应用引擎产品使用合集之是否提供工具来给OSS配置HTTPS证书
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
2月前
|
数据安全/隐私保护
https【详解】与http的区别,对称加密,非对称加密,证书,解析流程图
https【详解】与http的区别,对称加密,非对称加密,证书,解析流程图
44 0
下一篇
DDNS