文章发表于:2020年01月08日 10:58:17

天威诚信 HTTPS加密应用攀升,网站身份认证很重要

    HTTPS加密应用在过去两年间取得了惊人成果,全球互联网超50%的网站流量启用HTTPS加密。然而,100%的加密环境,就等于安全吗?借助缺乏真实身份认证的免费DV SSL证书,越来越多的恶意软件、钓鱼网站转向100%加密,从而逃避安全工具检测、欺骗用户信任,而浏览器UI标识混淆多变,使用户困惑。天威诚信

    浏览器厂商极力推动HTTPS加密成为新常态;免费DV SSL证书以及证书颁发/安装自动化等产品工具,使得HTTPS加密更易于实施;SEO排名优先,鼓励更多网站加入HTTPS行列,这些都是HTTPS加密取得的积极进展。

    然而,HTTPS加密应用的攀升,使得恶意软件得以隐藏在加密流量中,更难被发现和阻止,今年近一半的网络攻击,使用隐藏在加密流量中的恶意软件逃避检测;DV SSL证书正在成为欺诈者的“好搭档”,仿冒域名、身份匿名、免费、挂锁、没有UI警告,DV SSL证书给网络钓鱼网站塑造了“看起来很真实”的假象,让受害者更加难以辨别。

    SSL证书设计之初被赋予两个重要使命,一方面是实现数据加密传输,保护数据安全,另一方面是进行服务器身份认证,确保网站身份真实可信。由于网站身份认证成本较高,最初的SSL证书应用推广进程缓慢。DV SSL证书简化了身份认证流程,仅验证域名即可颁发证书,大大降低了证书成本,受到市场广泛欢迎。北京数字证书认证中心

    但是,经过简化的DV SSL证书仅起到数据传输加密的作用,完全失去了SSL证书原有的身份认证功能。存在功能缺陷的DV SSL证书,虽然推动了HTTPS加密的广泛应用,但也成为了黑客利用的工具。普及DV SSL证书不仅无法实现互联网安全可信,反而为网络攻击提供了隐藏之地,让互联网安全更加岌岌可危。

    大多数普通用户看到HTTPS时,都给予强烈的信任,即使是仅为网站提供加密的DV SSL证书,也被认为与使用OV SSL证书或EV SSL证书的网站具有同等信任水平。为什么会出现这样的误解?