钓鱼网站也在使用https加密,如何识别钓鱼网站?

举报
沃通WoTrus 发表于 2023/05/31 14:32:20 2023/05/31
【摘要】 信息安全是一个庞大的领域,其中涉及到很多知识点,但是大多公司都对其没有提及足够的重视,希望随着国内对于安全的越来越重视,更多的公司也能在信息安全领域投入越来越多的注意。安装SSL证书是为了对数据进行加密传输,保护数据在传输过程中不被监听、截取和篡改以及验证网站身份,防止受到钓鱼网站的攻击。由于http纯文本方式传输缺乏安全性,谷歌等主流浏览器会对没有安装SSL证书的网站显示“不安全”。因此,...

信息安全是一个庞大的领域,其中涉及到很多知识点,但是大多公司都对其没有提及足够的重视,希望随着国内对于安全的越来越重视,更多的公司也能在信息安全领域投入越来越多的注意。

安装SSL证书是为了对数据进行加密传输,保护数据在传输过程中不被监听、截取和篡改以及验证网站身份,防止受到钓鱼网站的攻击。由于http纯文本方式传输缺乏安全性,谷歌等主流浏览器会对没有安装SSL证书的网站显示“不安全”。因此,越来越多的网站选择部署SSL证书来对数据进行加密传输。

SSL证书根据验证级别分为三种类型:域名型SSL证书,简称DVSSL;企业型SSL证书,简称OVSSL;增强型SSL证书,简称EVSSL。

faq_2019071701_clip_image001.jpg

哪种证书,都会在浏览器和服务器之间提供加密传输方式。但是并不是所有类型的证书都提供身份验证。这三种证书都需要验证对网站的域名管理权限,但DVSSL证书只验证域名管理权限,只起到加密传输的作用,并不验证网站的真实身份。而对于OVSSL和EVSSL证书,我们可以在证书详情中看到网站的更多信息包括企业的地址等,而在EVSSL证书中信息会更详细,验证企业身份也更为严格。用户还可以在证书详情中查看给网站颁发证书的证书颁发机构(CA)的名称。

随着越来越多的网站使用SSL证书进行加密传输,而只要安装了SSL证书,不管什么类型都会在地址栏显示小锁标志,因此光看小锁和https开头已经不足以保护用户远离欺诈性网站。用户要勤于在地址栏前端点开证书详情去查看网站的身份信息。而对于安装了EVSSL证书的网站,会在浏览器地址栏显示绿色的公司名称,可以让访问者确信他们所访问的网站是真实合法的。

由于OVSSL证书和EVSSL证书需要对企业身份进行验证,CA机构会在政府官网上查询公司相关信息,这些都需要花费成本,因此这两种类型的证书成本更高,因而价格会比DVSSL证书更高,颁发所需要的时间也会长一些。这对于合法企业来说是经得起验证的,但对于网络不法分子来说,他们很难通过验证,而他们选择DVSSL证书就可以避免进行身份验证。因此,DVSSL证书已经成为黑客和不法分子的首选证书,黑客和不法分子不再只选择http让你一眼看出不安全。他们会选择HTTPS加密传输,让用户以为是加密传输就是安全的。但要知道HTTPS是保护数据在传输过程中不被第三方监听、截取和篡改,而我们的数据是直接发送到了黑客或不法分子的手中。

用户该如何识别欺诈网站呢?

1、在过去只要有绿锁标志就是安全的,但是现在必须检查证书详情。点击绿锁查看证书详情,查看是哪个CA 颁发了证书,要是受信任的颁发机构。如果是OV和EV证书,还可以说明网站的身份已经经过审查,对访问者也是一种额外的保护。

2、仔细查看地址栏并仔细阅读地址,确保是你要访问的网站。

3、查看锁旁边是否显示绿色公司名称,如果地址栏直接显示公司名称,说明它是EVSSL证书,可以对网站的真实身份更加放心。

但是这并不是说使用DVSSL证书的网站就不能被信任,但要仔细检查上面这些内容。很多使用DVSSL证书的网站都运行的很好,只是以防遇到使用DVSSL证书的不法分子网站。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。