随着SSL证书的普及,网络上大大小小的网站基本都部署了SSL证书升级HTTPS加密,不过值得我们警惕的是,许多不法分子为了令钓鱼网站与官方网站更加相似以更好的实施钓鱼攻击,纷纷为假冒钓鱼网站部署了SSL证书以达到迷惑网站用户的效果。

  这种情况出现的原因是由于免费SSL证书的出现。目前市面上的免费SSL证书大多为域名型DV证书,域名型DV证书的申请无需严格的认证,只需要验证域名所有权就能取得SSL证书,这大大方便了不法分子。不法分子通过申请一个和真实网站近似的域名,然后为该假冒钓鱼网站申请一个域名型DV SSL证书,这样一来,用户在访问该钓鱼网站时就不会收到来自浏览器的“不安全”警告。


  免费SSL证书


  部署了SSL证书的网站,用户在点击浏览器地址栏的安全锁时会看到“连接是安全的”的提示,但是“连接是安全的”就代表该网站是安全的了吗?

  这就是许多用户对“连接是安全的”的误区所在,目前许多用户对于SSL证书还不够了解,导致用户在看到浏览器此类提示时就会错误地以为该网站是安全的,其实不然,“连接是安全的”仅能说明你与网站所传输的数据是经过加密的,但是并不代表你访问的这个网站是真正的官方网站。

  但在狡猾的不法分子面前,用户显然处于信息的弱势方,那么,企业在面对部署了SSL证书的假冒钓鱼网站时应该如何应对?别着急,目前有多种防范措施可以提供给企业以有效保护用户的利益不被钓鱼攻击所侵害。


  企业可以采取什么措施来应对钓鱼攻击的威胁?


  既然不法分子可以申请域名型DV SSL证书,那企业可以通过申请个人无法申请的企业型OV SSL证书或增强型EV SSL证书来应对日益增长的HTTPS钓鱼网站,这两种SSL证书仅向企业开放申请,即使不法分子想要蒙混过关进行申请,也会因无法通过CA机构严格的身份审查而被拒绝,可以有效应对部署了SSL证书的钓鱼网站的威胁。

  除此之外,企业型OV SSL证书或增强型EV SSL证书均包含了企业的相关信息,用户通过查看SSL证书的详细内容都可以看到网站所属企业的名称,从而确定自己访问的网站是否为真实的官方网站。

  倘若企业选择部署增强型EV SSL证书,则可以直接在浏览器的地址栏中显示企业的名称,用户第一眼就能看到网站所属企业的名称,省略了查看SSL证书详细信息的步骤,能进一步增加用户的信任感。