购买验证真实身份的“超真SSL证书”的重要性!
2019-07-08 14:41 紫天峰 阅读(430) 评论(0) 编辑 收藏 举报网站欺诈(Phishing)目前日益猖獗,而很多安全厂商对此却束手无策,在目前条件下,这类攻击不是靠技术能解决的,需要靠人们擦亮眼睛。此外,网站作为受害方之一,也可以采取一定的措施自我保护。SSL认证曾经被认为是好方法,但目前存在认识误区。那么,还有什么好方法呢?
误区一:
对SSL数字证书(SSL证书)功能的误解。
许多网站开发者认为只要部署了SSL数字证书(SSL证书)就万事大吉了,错误地夸大了数字证书的功能。实际上部署了SSL数字证书(SSL证书),只能证明如下三点:
(1) 从用户的浏览器到正在访问的Web服务器之间所传输的数据是通过加密传输的,是不可被篡改、窃取和破译的,保证了用户输入的机密信息(如银行卡信息)在网络传输过程中是安全的。
(2) 浏览器右方有锁标志说明了此数字证书是由信任的机构颁发,并且与用户正在使用的浏览器兼容。
(3) 说明用户正在访问的Web服务器已经申请了SSL数字证书(SSL证书),并且正在访问的网站的域名的所有者与SSL数字证书(SSL证书)申请时填写的域名所有者是一致的。
误区二:
以为在屏幕右下角有“显示锁标志”就可以放心地在线填写信用卡等机密信息了。
有锁标志只能说明机密数据在传输过程是安全的,但是网上用户首先应该搞清楚的是您正在与谁交易,正在付钱给谁。一个假冒在线购物的网站也可以申请一个SSL数字证书(SSL证书)来麻痹用户,用户应该检查正在访问的网站是否就是要访问的购物网站,域名是否正确。点击锁标志,检查此证书是颁发给哪个网站的?此证书的网址是否就是您要访问的网址?再点击“详细信息”的“主题”项,WoSign的数字证书一般在“O”或“OU”字段会列出此证书的网站的所有者,即会清楚地告诉您此网站是否是您计划与之交易的公司的网站。而一个假冒的网站即使也有SSL数字证书(SSL证书),如果检查证书的详细信息就会发现问题。如招商银行信用卡网站的安全链接网址为:https://creditcard.cmbchina.com,访问后会发现浏览器下面有锁标志,点击锁标志后会显示此证书是颁发给creditcard.cmbchina.com,而再点击“详细信息”的“主题”项后会显示:CN = creditcard.cmbchina.com (Web服务器公用名称), OU = head office (申请机构的部门信息), O = China Merchants Bank (申请机构信息), L = Shenzhen (机构所在城市), S = Guangdong (机构所在州/省), C = CN (机构国家)。
但是,用户一定要明白,SSL数字证书(SSL证书)仅仅是为了保证数据传输的安全,它并不等于身份验证。要搞清楚的是用户正在访问的网站是否就是用户希望与之发生交易的公司的网站,这是最重要的。所以,要保证网上安全交易,还需要对网站的身份进行验证,验证此网站是否就是交易方的正宗网站。假如有一个假冒招商银行信用卡网站的安全链接网址为:https://creditcard.cmb-china.com,该假冒者在注册域名时也是填写域名注册者为China Merchants Bank,申请SSL数字证书(SSL证书)时也都是填写与域名cmbchina.com一样的信息,该假冒者当然也可以申请到SSL数字证书(SSL证书),只要申请证书时的信息与注册域名的信息一样。所以,此假冒网站也会显示锁标志,按以上方法验证证书,都可以是同样的正确信息。但是此网站是假冒网站,而用户只能以网站的网址做判断了。
误区三:
选择SSL数字证书(SSL证书)颁发机构的误区。
目前国内各种数字证书颁发机构有近百家,网站应该根据自己的业务需要正确选择数字证书颁发机构。对于面向国际市场和希望有国际合作的网站(希望国外用户也能正确浏览安全页面的网站),推荐申请支持所有浏览器的WoSign服务器数字证书,此类证书无需要求客户端浏览器下载和安装根证书,使用非常方便。
总之,目前国内电子商务和网上购物网站越来越多,而且盗版的银行网站也越来越猖狂,通过互联网的欺骗和盗用行为日益增加,作者认为,对于要求用户输入机密信息的网站,一定要部署SSL数字证书(SSL证书)来确保用户输入的机密信息的安全,保护输入的机密信息不会被泄露,让人们放心地进行网上消费。同时,我们建议所有网站都应该申请认证,让现实世界的真实企业与网络虚拟世界的企业网站实现真正的一一对应关系,让假冒网站没有可乘之机。而对于网上消费者,一定要提高安全防范意识,掌握辨别真伪网站的方法,不给网络犯罪分子有可乘之机。