申請(qǐng)SSL證書(shū)選擇CA很關(guān)鍵，“免費(fèi)午餐”需注意

時(shí)間：2022-07-11 07:09:02 | 來(lái)源：建站知識(shí)

時(shí)間：2022-07-11 07:09:02 來(lái)源：建站知識(shí)

如今這個(gè)時(shí)代，上網(wǎng)已經(jīng)成為在平常不過(guò)的事情，而越來(lái)越多的網(wǎng)站主為了保護(hù)用戶的上網(wǎng)隱私安全選擇申請(qǐng)SSL證書(shū)，而免費(fèi)SSL證書(shū)的出現(xiàn)讓很多網(wǎng)站所有者偷著樂(lè)了一把，但是，這樣的“免費(fèi)午餐”要不要吃呢?

如果不說(shuō)你一定不知道，“釣魚(yú)”網(wǎng)站竟然也會(huì)用HTTPS，這時(shí)你一定會(huì)說(shuō)，HTTPS不是可以防止“釣魚(yú)”網(wǎng)站的嗎?在我們的潛意識(shí)中已經(jīng)形成了這樣一種認(rèn)知，只要有HTTPS標(biāo)識(shí)出現(xiàn)的就說(shuō)明網(wǎng)站已經(jīng)通過(guò)HTTPS加密了，就能放心的訪問(wèn)，甚至是輸入賬號(hào)密碼等敏感信息了。但看看下面這兩個(gè)例子，你就知道了“免費(fèi)午餐”不好吃也不能吃的道理了。

看，這短信內(nèi)容就透著一股套路，而附帶的HTTPS鏈接實(shí)為“釣魚(yú)”鏈接。如果點(diǎn)擊進(jìn)入你的信息就會(huì)被泄露了。

下面這個(gè)鏈接看似很安全，但實(shí)際卻是一個(gè)假冒谷歌Play商店的釣魚(yú)網(wǎng)站。仔細(xì)觀察，你會(huì)發(fā)現(xiàn)網(wǎng)址中包含兩個(gè)“.com”，而谷歌Play商店的真實(shí)網(wǎng)址是

為什么“釣魚(yú)”網(wǎng)站也能顯示HTTPS?難道HTTPS也有假的?我們又該如何防范呢?“釣魚(yú)”網(wǎng)站是如何用上HTTPS的。

網(wǎng)站如果想實(shí)現(xiàn)HTTPS，就必須安裝SSL證書(shū)。SSL證書(shū)是由數(shù)字證書(shū)管理機(jī)構(gòu)(簡(jiǎn)稱(chēng)CA)簽發(fā)的，CA是一個(gè)受信任的第三方組織，負(fù)責(zé)發(fā)布和管理SSL證書(shū)。當(dāng)網(wǎng)站申請(qǐng)SSL證書(shū)時(shí)，通常要向CA提供域名所有者的身份證明資料(如企業(yè)營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證等)，經(jīng)過(guò)CA人工審核通過(guò)并支付一定費(fèi)用后才可頒發(fā)，這些需要人工審核和費(fèi)用的SSL證書(shū)被稱(chēng)為OV或EV證書(shū)。由于需要費(fèi)用和人工審核，黑客基本不可能得到OV或EV證書(shū)，但免費(fèi)SSL證書(shū)的出現(xiàn)讓黑客有了可乘之機(jī)。

因?yàn)樯暾?qǐng)免費(fèi)證書(shū)時(shí)不再需要人工審核，僅通過(guò)系統(tǒng)自動(dòng)匹配域名所有權(quán)，匹配成功后即可獲得證書(shū)，所以黑客完全可以給自己的域名申請(qǐng)到免費(fèi)證書(shū)，再用這個(gè)域名搭建一個(gè)以HTTPS開(kāi)頭的“釣魚(yú)”網(wǎng)站，一個(gè)虛假的HTTPS也就此誕生。此時(shí)的HTTPS仍可起到加密傳輸?shù)淖饔茫畔鬏數(shù)哪康牡貐s由真實(shí)網(wǎng)站的服務(wù)器變成了黑客的“釣魚(yú)”服務(wù)器，加密的保護(hù)意義也隨之喪失。

如何防范虛假HTTPS

網(wǎng)站一定要使用經(jīng)過(guò)正規(guī)第三方CA身份驗(yàn)證的OV機(jī)構(gòu)型或EV增強(qiáng)型證書(shū)。例如下圖所示天威誠(chéng)信的網(wǎng)站就安裝了Symantec頒發(fā)的SSL證書(shū)，當(dāng)你點(diǎn)擊地址欄中的鎖型圖標(biāo)時(shí)，顯示網(wǎng)站身份經(jīng)Symantec認(rèn)證，說(shuō)明該網(wǎng)站證書(shū)、身份真實(shí)可靠。通過(guò)確認(rèn)CA的真實(shí)性及證書(shū)的真實(shí)性，就可以放心的進(jìn)行訪問(wèn)了，不用再擔(dān)心碰到假的HTTPS了。

最后要特別強(qiáng)調(diào)的是，上述問(wèn)題的產(chǎn)生與HTTPS加密協(xié)議無(wú)關(guān)，而是黑客利用免費(fèi)證書(shū)鉆了空子，此類(lèi)情況也屬于極個(gè)別現(xiàn)象，對(duì)于HTTPS的加密功能我們還是充滿信心的，HTTPS網(wǎng)站的整體安全性依然遠(yuǎn)高于非HTTPS網(wǎng)站，推進(jìn)HTTPS在全網(wǎng)普及的腳步也絕不能停歇，而大型企業(yè)類(lèi)網(wǎng)站一定不要選擇“免費(fèi)”午餐，用戶在訪問(wèn)網(wǎng)站時(shí)也一定要仔細(xì)辨別SSL證書(shū)，這樣才能更有效的保障用戶的數(shù)據(jù)安全。