免费证书可能被黑客利用
事实上,很多“钓鱼”网站也会用HTTPS,在我们的潜意识中认为,HTTPS可以防止“钓鱼”网站,只要有HTTPS标识出现的就说明网站已经通过HTTPS加密了,就能放心访问,甚至是输入账号密码等敏感信息了。
但是,钓鱼网站也可能会使用https。因为网站如果想实现HTTPS,就必须安装SSL证书。由于正规SSL证书需要费用和人工审核,黑客基本不可能得到OV或EV证书,但免费SSL证书的出现让黑客有了可乘之机。
免费证书加密意义不大
因为申请免费证书时,不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以给自己的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生。
此时的HTTPS仍可起到加密传输的作用,但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器,加密的保护意义也随之丧失。
如何防范虚假的HTTPS
网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。这样当你点击地址栏中的锁型图标时,显示网站身份经Symantec认证,说明该网站证书、身份真实可靠。或者申请域名型证书也要到正规官网。
要特别强调的是,安全问题的产生与HTTPS加密协议无关,而是黑客利用免费证书钻了空子,所以,不建议大家使用免费ssl证书。
西部数码与全球知名的CA证书服务中心或代理商合作,提供安全的ssl证书,现在域名型证书仅需1元即可申请,SSL证书申请链接 https://www.west.cn/web/ssl/
