普遍用户意识到网站添加到HTTPS重要性的时候,估计网络黑客都已经弄清楚HTTPS的工作原理,并开始对HTTPS发起攻击。
对网站进行加密似乎已经成为一种自动服务。但将未加密的URL转换成安全加密的HTTPS安全协议,是通过一种名为SSL证书的文件。SSL证书是通过安全套接字层(SSL) 技术通过加密信息和提供鉴权,保护网站安全。因为安全等级高的SSL证书价格稍微会高一点,所以很多网络管理员并不愿意购买SSL证书。并且很多人认为现在的网站加密服务已经比以前安全很多,这种想法让很多技术人员头痛。
当网站设置到HTTPS时,用户不仅可以相信它是安全的加密连接,Chrome浏览器也会在地址栏上显示一个绿色小挂锁和显示“安全”两字。为了推动HTTPS的发展,各大浏览器以及部分IT行业领先者(如:google、苹果、微信)纷纷都推出支持HTTPS政策,提升网络安全。
安全隐患
但部分商家为了抢占市场份额,越来越多免费且简单可以设置网站添加到HTTPS的SSL证书,使网站添加到HTTPS看起来似乎是件很简单的事情。免费SSL证书已经成为了网络犯罪分子将钓鱼网站“合法化”的利器,现在免费证书很多被钓鱼网站所使用,通过绿色挂锁等简单线索骗取终端用户的信任。这对于信息安全的服务商(如GDCA)来说是一件很无奈的事情。
根据证书经销商The SSL Store提供的信息,在2016年1月1日至2017年3月6日期间,某免费SSL证书提供商共发出了15,270份含有“PayPal”的免费SSL证书。这数据意味着免费的SSL证书正在被大量的钓鱼网站使用。The SSL Store还表示:虽然他们的分析侧重于假PayPal网站,但调查结果还发现其他SSL网络钓鱼欺诈者,包括美国银行,Apple ID和Google。
关于向钓鱼网站颁发免费证书已经并不是件新鲜的新闻。在去年一月份,安全公司趋势科技(Trend Micro)的研究人员就发现了一个恶意广告活动,而这个活动主要针对的是那些使用了免费证书的网站。当用户访问了恶意广告之后,便会被重定向至另一个托管了Angler Exploit Kit的站点。当用户访问了一个恶意Web页面之后,Angler将可以在用户毫不知情的情况下让目标主机感染恶意软件,而且整个过程完全不需要任何的用户交互。研究人员表示,超过50%的Angler所感染的都是勒索软件,在这类黑客攻击活动中,绝大部分的攻击者都是通过数据赎金来获取非法受益的。
趋势科技发现,这些恶意广告背后的攻击者在HTTPS页面之前,还创建一个看起来安全性高的子域名,以此来欺骗大部分的网上用户点击。这样一来,用户就可以看到钓鱼网站是拥有SSL证书的,使用户误以为这是一个合法并且安全的网站。
任何技术都存在两面性
一项优秀的技术诞生之后,即便它的设计初衷是好的,但它同样有可能被网络犯罪分子所利用,免费证书也不例外。也许有人提出这样的疑问,为什么不能直接撤销掉很明显是伪造的PayPal证书呢?但很多免费证书提供商认为这并不是他们的问题。
Josh Aas是网络安全研究组织(ISRG,即Let’s Encrypt项目的管理方)的执行总裁,他在一月份接受InfoWorld的采访时表示,Let’s Encrypt并不需要对现在的HTTPS信任问题承担任何的责任,而且目前的证书颁发系统也无法完全帮助用户去抵御钓鱼网站以及恶意软件。免费证书服务商将这个问题推给了Google、Firefox以及Safari等浏览器安全团队。因为Aas认为,浏览器的反钓鱼和反恶意软件机制相比证书颁发商而言则更加成熟和有效。
某免费证书提供商的执行总裁在年初接收了InfoWorld的采访时表示,他们并不需要对现在的HTTPS信任问题承担任何的责任,而且目前的证书颁发系统也无法完全帮助用户去抵御钓鱼网站以及恶意软件。并且将这个问题推给了Google、Firefox以及Safari等浏览器安全团队。他认为浏览器的反钓鱼和反恶意软件机制相比证书颁发商而言则更加成熟和有效。
但是,即使Google将某个域名标记为了恶意HTTPS钓鱼网站,免费证书提供商表示也不会撤销他们的证书。因此,现在已经不能再通过浏览器地址栏前面的绿色标志以及“Secure”标记来判断一个网站是否安全了,这也意味着之前对于HTTPS所做的相关安全普及工作也都白费了。
总结
各大网络站长应该尽快使用HTTPS,这一点毋庸置疑,但是为了安全起见,建议尽量避免使用免费的SSL证书,毕竟免费的SSL证书的安全等级并不高。同时用户并不能仅仅通过“HTTPS”就去判断一个网站是否安全。免费SSL证书使HTTPS并不等于合法跟安全,这只适用于前几年的网络环境。因此,即使Chrome将链接标记为“安全”,用户也要亲自检查链接的有效性以及地址中的单词拼写是否存在错误等因素,以及SSL证书的类型以及安全,毕竟使用OV以及EV的SSL证书目前还是安全可靠的。
GDCA一直以“构建网络信任体系,服务现代数字生活”的宗旨,致力于提供全球化的数字证书认证服务。其自主品牌——信鉴易®TrustAUTH® SSL证书系列,为涉足互联网的企业打造更安全的生态环境,建立更具公信力的企业网站形象。
领取优惠
提交成功!