“釣魚”網站居然也有HTTPS

　　由于信息泄露、流量劫持、“釣魚”網站等不安全現象在網絡上泛濫，HTTPS這一網絡傳輸加密協議得到越來越多的應用。我們也逐步在潛意識中達成這樣一種認知，即只要有這種標識出現，就說明網頁已經過HTTPS加密保護，可以安心訪問，輸入賬戶、密碼這些敏感信息時也不用擔心被泄露。但看過下面這兩個例子后……

　　看，這短信內容就透著一股套路，而附帶的HTTPS鏈接實為“釣魚”鏈接。

　　下面這個鏈接看似很安全，但實際卻是一個假冒谷歌Play商店的釣魚網站。仔細觀察，你會發現網址中包含兩個“.com”，而谷歌Play商店的真實網址是——https://play.google.com/store

　　為什么“釣魚”網站也能顯示HTTPS？難道HTTPS也有假的？我們又該如何防范呢？

　　“釣魚”網站是如何用上HTTPS的

　　如果一家網站想實現HTTPS，就必須安裝SSL證書。SSL證書是由數字證書管理機構（簡稱CA）簽發的，CA是一個受信任的第三方組織，負責發布和管理SSL證書。當網站申請SSL證書時，通常要向CA提供域名所有者的身份證明資料（如企業營業執照、組織機構代碼證等）等，經過CA人工審核通過并支付一定費用后才可頒發，這些需要人工審核和費用的SSL證書被稱為OV或EV證書。由于需要費用和人工審核，黑客基本不可能得到OV或EV證書，但免費SSL證書的出現讓黑客獲得了可乘之機。

　　因為申請免費證書時不再需要人工審核，僅通過系統自動匹配域名所有權，匹配成功后即可獲得證書，所以黑客完全可以為自己擁有的域名申請到免費證書，再用這個域名搭建一個以HTTPS開頭的“釣魚”網站，一個虛假的HTTPS也就此誕生。此時的HTTPS仍可起到加密傳輸的作用，但信息傳輸的目的地卻由真實網站的服務器變成了黑客的“釣魚”服務器，加密的保護意義也隨之喪失。

　　如何防范虛假HTTPS

　　網站安全公司Wordfence最近發布的一篇網站證書安全報告表明，有大量冒充谷歌、微軟、蘋果等知名公司的釣魚網站擁有多個機構頒發的SSL證書，當用戶訪問網站時，瀏覽器會將其標記為“安全”。那么，面對這種情況，我們又該如何識別、防范虛假HTTPS呢？

　　其實也很簡單，就是網站一定要使用經過正規第三方CA身份驗證的OV機構型或EV增強型證書。例如下圖所示網站就安裝了由中國金融認證中心（CFCA）頒發的OV證書，當你點擊地址欄中的鎖型圖標時，如果顯示網站身份經CFCA認證，即說明該網站證書、身份真實可靠，不用再擔心碰到假的HTTPS啦。

　　而如果是EV證書，則無需任何操作，網站真實性如下圖這樣一目了然。

　　最后要特別強調的是，上述問題的產生與HTTPS加密協議無關，而是黑客利用免費證書鉆了空子，此類情況也屬于極個別現象，所以我們仍可對HTTPS充滿信心，HTTPS網站的整體安全性依然遠高于非HTTPS網站，推進HTTPS在全網普及的腳步也絕不能停歇。

　　如果您希望了解更多與HTTPS和SSL證書相關的信息，請撥打010-59798680或登錄ssl.cfca.com.cn查詢?！　?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇