作为网站建设的必备基础设施,SSL证书可以对数据进行加密传输,保护数据在传输过程中不被监听、截取和篡改,因此部署了SSL证书的网站会比传统的http协议更加安全,也更受主流操作系统和浏览器的信任。
但随着SSL证书的普及,一些不法分子也开始在钓鱼网站上使用SSL证书。面对https开头的钓鱼网站,很多用户便不再进行认真审查,这就为不法分子提供了可乘之机,可能导致重要的个人信息被窃取。
防不胜防,祸缘DV SSL证书?
之所以造成这种情况,是因为很多钓鱼网站安装了DV SSL证书。因为 DV SSL证书只需要验证域名管理权限,不需要验证网站的真实身份,钓鱼网站正是利用这一规则,以DV SSL证书为掩护进行钓鱼诈骗。当遇到这类情况时,用户仅通过查看绿色安全锁和https开头已不足以保证自己的信息安全。
唯一的防范方法是,用户要勤于在地址栏前端点开SSL证书详情,通过查看SSL证书类型和网站所属的企业组织信息来确保自己所访问的站点是安全可信的。
SSL证书根据验证级别分为三种类型:域名型SSL证书,简称DV SSL;企业型SSL证书,简称OV SSL;增强型SSL证书,简称EV SSL。
无论哪种证书,都会在浏览器和服务器之间提供加密传输方式,但并不是所有类型的证书都提供组织身份验证。如DV SSL证书只验证域名管理权限,并不验证网站所属企业的真实身份,才会被一些钓鱼网站所利用。
严格验证,这才是适配企业网站的证书
相对于DV SSL证书而言,OV SSL证书不仅需要确认申请者对域名的所有权,还需验证申请者的企业身份信息,包括企业名称、地址和电话等信息的真实性和有效性,因此使用了OV SSL证书的网站安全性更高、用户信任度更强。
EV SSL证书则是目前最高信任级别的SSL证书,通过认证企业身份信息和域名控制权,可在浏览器地址栏显示企业中文名称,并提供高达256位加密算法,在有效提升网站可信度的同时,实现https的"防假冒网站","防劫持","防篡改"等功能。
由于OV SSL证书和EV SSL证书需要对企业身份进行严格的验证,而钓鱼网站没有真实的企业组织信息,是不可能通过证书颁发机构(CA)验证的,而且这两种证书花费的成本更高,审核时间更长,也不会成为黑客和不法分子的选择。
由此可见,对处于数字化转型中的广大企业而言,仅仅部署DV SSL证书是不够的。随着线上业务的增加,dns666.com建议企业应积极部署适配自身业务需求的OV SSL证书或EV SSL证书,这样用户就可以通过绿色地址栏和企业名称信息,非常清楚地知道他们正在与谁做交易,并快速地对网站产生信任,增加网站在线交易量,这对企业的发展大有裨益。