随着全网HTTPS加密的推进,许多个人站长为了节省购买SSL证书的费用,都开始在网上寻找免费的SSL证书,希望获得免费的SSL证书并部署在自己的个人网站上,但是,使用免费SSL证书存在很多安全隐患。
遭受钓鱼攻击
既然免费SSL证书人人都可以申请,那么不法分子就也可以申请,这就造成很多假冒钓鱼网站也部署了免费SSL证书,而在大部分用户的眼中,地址栏中的https://前缀则代表着安全,就能放心输入账号密码等敏感信息,这种想法其实是错误的。
对于免费SSL证书来说,部署该证书仅仅代表着用户与网站间的数据传输会被加密,并无法代表该网站是安全的,如果我们贪小便宜而使用免费SSL证书,那么不法分子也只需要申请一个免费SSL证书并搭建与我们网站相似的网站,有可能让网站的用户傻傻分不清真假,进行网络钓鱼。
如何防范假冒钓鱼网站
既然使用免费SSL证书无法防范假冒钓鱼网站,那么免费SSL证书存在的意义是什么呢?其实,免费SSL证书一开始仅仅是用于网站正式上线前的测试,将其充当付费的SSL证书部署在网站上,无疑已经超出了免费SSL证书的承受范围。
所以,如果我们想让网站避免遭受假冒钓鱼网站的攻击,我们可以选择企业型OV或增强型EV SSL证书。这两种类型的证书在申请时需要通过严格的审核,确保网站的真实性是真实可靠的。