随着免费SSL证书的普及,HTTPS钓鱼网站数量激增。浏览器的安全标识变更使得这些网站更容易被误认为安全,对用户构成潜在威胁。
2017年注定是个不太平的年份,钓鱼网站的数量已经达到了巅峰状态……
虽然各大主流浏览器已经推进网站HTTPS的部署,但也正是因为这个原因,一部人认为只要安装了SSL证书就可以保证网站的安全,所以导致免费SSL证书的申请数量急剧上升。由于申请免费的SSL证书不需要进行严格的身份验证过程,使得任何人包括钓鱼网站者都可以轻松地获取SSL证书,这就造成了即使网站显示的是HTTPS,但很有可能这个网站是由于部署了免费的SSL证书而被标记成“安全”的网站。
一个标记为“安全”的钓鱼网站就这么明目张胆的出现在网上,这可不是什么好事情。另外,由谷歌和Mozilla领导的浏览器,从Chrome 56 / Firefox 51开始,将安全标识从低调的安全挂锁更改为“安全/不安全”的两极化提示,更是助长了钓鱼网站,这种“简单粗暴”的认证方式让钓鱼网站的持有者沾沾自喜,继而通过申请免费证书,几分钟就可以“完美”的伪装成一个正常的网站。下图是Netcraft的数据,展示了自从浏览器界面改变后, HTTPS钓鱼网站就出现飙升的情况。
免费SSL证书的项目促使这一趋势保持增长。根据The SSL Store的统计,二月份免费SSL项目已经发行15000张PayPal的网络钓鱼证书,随着Let's Encrypt通配符证书的发行,使用HTTPS的钓鱼网站数量将会呈指数级增长。
PayPal不是唯一被钓鱼网站锁定的目标,苹果、AOL、雅虎、微软等都是钓鱼网站仿冒的对象。通过网络钓鱼检测系统,从电子邮件中收集数据并识别指向钓鱼网站的URL,每天可以发现数千个这样的URL。
这是一个企图获取苹果ID的钓鱼网站,注意它已经被标记为“安全”。
这是另一个苹果钓鱼网站的例子,它再次被标记为“安全”。
具备更高计算机水平的用户,看到网站URL时会意识到这不是一个合法的网站。
但一般的互联网用户,更倾向于相信浏览器,会将标记的“安全”误认为是真正的“安全”。为了解决这个问题,浏览器应该更改安全标识,CA安全理事会的建议是这样的。
从用户的角度的来看,这种方案不再给用户非法网站很“安全”的错误印象。
对于网站所有者来说,应尽量选用OV级别以上需要进行严格身份验证的SSL证书,通过身份验证信息的展示,将自己的网站与钓鱼网站区分开。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
