首页>安全资讯>使用OV或EV SSL证书,抵御钓鱼网站威胁

使用OV或EV SSL证书,抵御钓鱼网站威胁

免费SSL证书帮助合法网站更加快速、低成本地实现HTTPS加密,防止中间人攻击和非法窃听,但也极易遭钓鱼网站利用。此前,用户是通过HTTPS判断真实网站,现在假冒网站也用上了HTTPS,用户该如何判断呢?HTTPS加密提升了网站数据传输安全,但只有充分利用网站身份信息才能抵御钓鱼网站威胁。

充分利用网站身份信息,抵御钓鱼网站

黑客利用免费SSL证书配置网络钓鱼或恶意软件分发等恶意网站,而部分浏览器对所有有效的HTTPS连接都显示“安全”,相似度极高的仿冒域名结合HTTPS安全锁以及浏览器显示的“安全”字样,使钓鱼网站看起来“越来越真实”。

PayPal钓鱼网站

图一:被Chrome标记为“安全”的PayPal钓鱼网站

CA安全理事会(CASC)针对业界面临的现状,发起了一项“支持网站身份”的活动,强调在目前的形势下网站身份信息比加密更重要,希望联合CA机构、浏览器厂商及网站所有者,充分利用网站身份信息来抵御恶意站点和钓鱼网站,倡导业界公开支持网站身份五项原则:

申请OV和EV SSL证书需要完成严格的身份验证,用户身份是可以追溯的。所以,几乎没有恶意网站或钓鱼网站会使用OV或EV SSL证书。企业网站应该采用OV以上级别的SSL证书,将自己和假冒网站区分开,让用户可以通过网站身份信息判断网站真实性。浏览器应该将包含网站身份信息的证书(OV和EV SSL证书)与匿名证书(免费 SSL证书)区分开来,采用通用的浏览器UI安全标识显示网站身份,使用直观且易于理解的展示方式,并教育用户认识安全标识的含义。充分利用网站身份信息才是反钓鱼、反恶意网站的最佳防御机制。

普通用户如何判断“安全”网站?

普通用户可能需要警惕,网站使用免费SSL证书仅表示网站加密传输数据,并不意味着它是一个合法的网站,或者它实际上是它声称的那个网站。通过OV或EV SSL证书中展示的更加详细的网站真实身份信息,才能更加准确地进行判断。

网站身份信息

图二:EV SSL证书显示详细的网站身份信息

一般的浏览器可以点击安全锁,找到查看证书详细信息的入口。如果网站使用了EV SSL证书,不用点击安全锁,就能从地址栏直观查看网站所属单位的名称及醒目绿色地址栏。

SSL证书信息

图三:360/IE/Firefox浏览器查看SSL证书信息

新版Chrome浏览器隐藏了SSL证书的详细信息和查看入口,需要通过F12调出开发者工具,在Secrity标签下查看证书详细信息。

Chrome 56查看SSL证书信息

图四:Chrome 56查看SSL证书信息

塑造企业网站可信形象

沃通超真SSL Pre和超安SSL Pre严格验证网站真实身份,帮助企业级用户抵御钓鱼网站仿冒的风险,塑造企业网站可信形象,防止终端用户遭遇网络钓鱼或恶意软件的侵害。沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统,支持各种新老移动终端。沃通提供细致的本地化客户服务和专业的一对一技术支持,十余年的证书行业服务经验,帮助用户应对各类复杂应用场景,更加快捷地完成证书部署。

相关资讯:

315聚焦 | 展示企业真实身份,打击匿名假冒网站

"时值“315消费者权益保护日”,沃通推出“超真SSLPre通配型买两年送一年”的SSL优惠活动,帮助更多企业网站展示网站真实身份信息,保护用户免受钓鱼网站欺诈,共同构建真实可信的互联网消费环境。

后HTTPS时代:网站身份比加密更重要

HTTPS加密应用在过去两年间取得了惊人成果,全球互联网超50%的网站流量启用HTTPS加密。然而,100%的加密环境,就等于安全吗?加密概念得到广泛普及的“后HTTPS时代”,网站身份认证比加密更重要!

电子商务领域SSL证书最佳实践

国际支付卡行业协会PCI(Payment Card Industry )安全标准委员会在2017年1月,为PCI数据安全标准(PCI DSS)添加了补充方案,详述安全电子商务最佳实践,推荐电子商务企业部署OV SSL证书和EV SSL证书,通过更高级别的认证建立在线信任,提升消费者在线交易的信心,其中详细的安全部署建议值得电子商务企业参考。