多语言展示
当前在线:399今日阅读:60今日分享:41

申请SSL证书选择CA很关键,“免费SSL”需谨慎

如今这个时代,上网已经成为在平常不过的事情,而越来越多的网站主为了保护用户的上网隐私安全选择申请SSL证书,而免费SSL证书的出现让很多网站所有者偷着乐了一把,但是,这样的“免费午餐”要不要呢?这里(ssl.idcspy.net)就简单为大家说说。
方法/步骤
1

如果不说你一定不知道,“钓鱼”网站竟然也会用HTTPS,这时你一定会说,HTTPS不是可以防止“钓鱼”网站的吗?在我们的潜意识中已经形成了这样一种认知,只要有HTTPS标识出现的就说明网站已经通过HTTPS加密了,就能放心的访问,甚至是输入账号密码等敏感信息了。

2

但是,上面的想法很显然是错误的,因为钓鱼网站也可能会使用https。为什么“钓鱼”网站也能显示HTTPS?难道HTTPS也有假的?我们又该如何防范呢?“钓鱼”网站是如何用上HTTPS的。

3

网站如果想实现HTTPS,就必须安装SSL证书。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理SSL证书。当网站申请SSL证书时,通常要向CA提供域名所有者的身份证明资料(如企业营业执照、组织机构代码证等),经过CA人工审核通过并支付一定费用后才可颁发,这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核,黑客基本不可能得到OV或EV证书,但免费SSL证书的出现让黑客有了可乘之机。

4

因为申请免费证书时不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以给自己的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生。此时的HTTPS仍可起到加密传输的作用,但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器,加密的保护意义也随之丧失。

5

如何防范虚假HTTPS网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。这样当你点击地址栏中的锁型图标时,显示网站身份经Symantec认证,说明该网站证书、身份真实可靠。

6

最后要特别强调的是,上述问题的产生与HTTPS加密协议无关,而是黑客利用免费证书钻了空子,此类情况也属于极个别现象,对于HTTPS的加密功能我们还是充满信心的,HTTPS网站的整体安全性依然远高于非HTTPS网站,推进HTTPS在全网普及的脚步也绝不能停歇,而大型企业类网站一定不要选择“免费”午餐,用户在访问网站时也一定要仔细辨别SSL证书,这样才能更有效的保障用户的数据安全。

推荐信息