“釣魚”網(wǎng)站居然也有HTTPS

由于信息泄露、流量劫持、“釣魚”網(wǎng)站等不安全現(xiàn)象在網(wǎng)絡(luò)上泛濫，HTTPS這一網(wǎng)絡(luò)傳輸加密協(xié)議得到越來越多的應(yīng)用。我們也逐步在潛意識中達(dá)成這樣一種認(rèn)知，即只要有這種標(biāo)識出現(xiàn)，就說明網(wǎng)頁已經(jīng)過HTTPS加密保護(hù)，可以安心訪問，輸入賬戶、密碼這些敏感信息時(shí)也不用擔(dān)心被泄露。但看過下面這兩個(gè)例子后……

看，這短信內(nèi)容就透著一股套路，而附帶的HTTPS鏈接實(shí)為“釣魚”鏈接。

下面這個(gè)鏈接看似很安全，但實(shí)際卻是一個(gè)假冒谷歌Play商店的釣魚網(wǎng)站。仔細(xì)觀察，你會(huì)發(fā)現(xiàn)網(wǎng)址中包含兩個(gè)“.com”，而谷歌Play商店的真實(shí)網(wǎng)址是——https://play.google.com/store

為什么“釣魚”網(wǎng)站也能顯示HTTPS？難道HTTPS也有假的？我們又該如何防范呢？

?“釣魚”網(wǎng)站是如何用上HTTPS的

如果一家網(wǎng)站想實(shí)現(xiàn)HTTPS，就必須安裝SSL證書。SSL證書是由數(shù)字證書管理機(jī)構(gòu)（簡稱CA）簽發(fā)的，CA是一個(gè)受信任的第三方組織，負(fù)責(zé)發(fā)布和管理SSL證書。當(dāng)網(wǎng)站申請SSL證書時(shí)，通常要向CA提供域名所有者的身份證明資料（如企業(yè)營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證等）等，經(jīng)過CA人工審核通過并支付一定費(fèi)用后才可頒發(fā)，這些需要人工審核和費(fèi)用的SSL證書被稱為OV或EV證書。由于需要費(fèi)用和人工審核，黑客基本不可能得到OV或EV證書，但免費(fèi)SSL證書的出現(xiàn)讓黑客獲得了可乘之機(jī)。

因?yàn)樯暾埫赓M(fèi)證書時(shí)不再需要人工審核，僅通過系統(tǒng)自動(dòng)匹配域名所有權(quán)，匹配成功后即可獲得證書，所以黑客完全可以為自己擁有的域名申請到免費(fèi)證書，再用這個(gè)域名搭建一個(gè)以HTTPS開頭的“釣魚”網(wǎng)站，一個(gè)虛假的HTTPS也就此誕生。此時(shí)的HTTPS仍可起到加密傳輸?shù)淖饔茫畔鬏數(shù)哪康牡貐s由真實(shí)網(wǎng)站的服務(wù)器變成了黑客的“釣魚”服務(wù)器，加密的保護(hù)意義也隨之喪失。

?如何防范虛假HTTPS

網(wǎng)站安全公司W(wǎng)ordfence最近發(fā)布的一篇網(wǎng)站證書安全報(bào)告表明，有大量冒充谷歌、微軟、蘋果等知名公司的釣魚網(wǎng)站擁有多個(gè)機(jī)構(gòu)頒發(fā)的SSL證書，當(dāng)用戶訪問網(wǎng)站時(shí)，瀏覽器會(huì)將其標(biāo)記為“安全”。那么，面對這種情況，我們又該如何識別、防范虛假HTTPS呢？

其實(shí)也很簡單，就是網(wǎng)站一定要使用經(jīng)過正規(guī)第三方CA身份驗(yàn)證的OV機(jī)構(gòu)型或EV增強(qiáng)型證書。例如下圖所示網(wǎng)站就安裝了由中國金融認(rèn)證中心（CFCA）頒發(fā)的OV證書，當(dāng)你點(diǎn)擊地址欄中的鎖型圖標(biāo)時(shí)，如果顯示網(wǎng)站身份經(jīng)CFCA認(rèn)證，即說明該網(wǎng)站證書、身份真實(shí)可靠，不用再擔(dān)心碰到假的HTTPS啦。

而如果是EV證書，則無需任何操作，網(wǎng)站真實(shí)性如下圖這樣一目了然。

最后要特別強(qiáng)調(diào)的是，上述問題的產(chǎn)生與HTTPS加密協(xié)議無關(guān)，而是黑客利用免費(fèi)證書鉆了空子，此類情況也屬于極個(gè)別現(xiàn)象，所以我們?nèi)钥蓪TTPS充滿信心，HTTPS網(wǎng)站的整體安全性依然遠(yuǎn)高于非HTTPS網(wǎng)站，推進(jìn)HTTPS在全網(wǎng)普及的腳步也絕不能停歇。

如果您希望了解更多與HTTPS和SSL證書相關(guān)的信息，請撥打010-59798680或登錄ssl.cfca.com.cn查詢。