网址显示https就一定安全吗?
最近更新时间:2023-06-29 14:55:05
作为网站建设的必备基础设施,SSL证书主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。SSL证书可防止信息泄露,提高网站的访问量以及交易的成功率,有助于企业的健康发展:部署SSL证书就证明该网站已遵循相关法律法规要求采取了措施,这对于企业的健康发展非常重要。因此部署了SSL证书的网站会比传统的http协议更加安全,也更受主流操作系统和浏览器的信任。
但是现在SSL证书的普及,各行各业网站也安装上了SSL证书,让网站网址显示https;面对https开头的网站,很多用户便不再进行认真审查,这就为不法分子提供了可乘之机,可能导致重要的个人信息被窃取。
为什么会有这种现象呢?
之所以造成这种情况,是因为很多钓鱼网站安装了基础版的DV SSL证书。基础版的DV SSL证书只需要验证域名管理权限信息,不需要验证网站的真实身份,仅证明域和证书本身属于同一域。换句话说,它可以验证域及其内容正是您所看到的。这是最简单,最经济的验证类型,它不覆盖也不检查域所有权和数据:仅是名称。不法分子利用DV SSL这一特点,在钓鱼网站上安装DV SSL,达到麻痹访客的作用,以网址显示https为掩护进行钓鱼诈骗。
我们该怎么防范钓鱼网站的诈骗呢?
首先我们要养成一个习惯,要勤于在地址栏前端点开SSL证书详情,通过查看SSL证书类型和网站所属的企业组织信息来确保自己所访问的站点是安全可信的,不能仅通过查看绿色安全锁和https开头来判断访问的网站是否安全和可靠。
相对于DV SSL证书而言,OV SSL证书不仅需要确认申请者对域名的所有权,还需验证申请者的企业身份信息,包括企业名称、地址和电话等信息的真实性和有效性,因此使用了OV SSL证书的网站安全性更高、用户信任度更强。
EV SSL证书则是目前最高信任级别的SSL证书,通过认证企业身份信息和域名控制权,可在浏览器地址栏显示企业中文名称,采用 HTTPS 加密 App 及网页通讯,在有效提升网站可信度的同时,防止数据在传送过程中被窃取、篡改,确保数据的完整性;防止运营商的流量劫持、网页植入广告现象;同时有效抵挡中间人的攻击,大大提升安全性。
扩展验证(EV)SSL证书是目前最高等级的SSL证书,适用于电子商务网站、银行、社交媒、医疗保健、政府和保险平台等网站;拥有强大的加密技术,可保护多个网站,以醒目的视觉标志呈现,方便用户一眼识别,提升网站的信赖度,最大限度保证网站信息安全。
由于OV SSL证书和EV SSL证书需要对企业身份进行严格的验证,才能颁发证书,而钓鱼网站没有真实的企业组织信息,是没有条件也不可能通过证书颁发机构(CA)验证,而且这两种证书审核时间长,花费的时间成本更高,并不是黑客和不法分子的首选。
综上所述,对处于数字化转型中的广大企业而言,仅仅部署DV SSL证书是不够的。随着各行各业的飞速发展,帝恩思【DNS.COM】建议企业应积极部署适配自身业务需求的OV SSL证书或EV SSL证书,这样用户在浏览网站时能更加清楚企业名称信息,更加信任网站,为企业的长远发展大有帮助。