HTTPS是李逵还是李鬼？全看你用啥证书

字号：大中小

　　“钓鱼”网站居然也有HTTPS

　　由于信息泄露、流量劫持、“钓鱼”网站等不安全现象在网络上泛滥，HTTPS这一网络传输加密协议得到越来越多的应用。我们也逐步在潜意识中达成这样一种认知，即只要有这种标识 HTTPS是李逵还是李鬼？全看你用啥证书出现，就说明网页已经过HTTPS加密保护，可以安心访问，输入账户、密码这些敏感信息时也不用担心被泄露。但看过下面这两个例子后……

　　看，这短信内容就透着一股套路，而附带的HTTPS链接实为“钓鱼”链接。

HTTPS是李逵还是李鬼？全看你用啥证书

　　下面这个链接看似很安全，但实际却是一个假冒谷歌Play商店的钓鱼网站。仔细观察，你会发现网址中包含两个“.com”，而谷歌Play商店的真实网址是——https://play.google.com/store

HTTPS是李逵还是李鬼？全看你用啥证书

　　为什么“钓鱼”网站也能显示HTTPS？难道HTTPS也有假的？我们又该如何防范呢？

　　“钓鱼”网站是如何用上HTTPS的

　　如果一家网站想实现HTTPS，就必须安装SSL证书。SSL证书是由数字证书管理机构（简称CA）签发的，CA是一个受信任的第三方组织，负责发布和管理SSL证书。当网站申请SSL证书时，通常要向CA提供域名所有者的身份证明资料（如企业营业执照、组织机构代码证等）等，经过CA人工审核通过并支付一定费用后才可颁发，这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核，黑客基本不可能得到OV或EV证书，但免费SSL证书的出现让黑客获得了可乘之机。

　　因为申请免费证书时不再需要人工审核，仅通过系统自动匹配域名所有权，匹配成功后即可获得证书，所以黑客完全可以为自己拥有的域名申请到免费证书，再用这个域名搭建一个以HTTPS开头的“钓鱼”网站，一个虚假的HTTPS也就此诞生。此时的HTTPS仍可起到加密传输的作用，但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器，加密的保护意义也随之丧失。

　　如何防范虚假HTTPS

　　网站安全公司Wordfence最近发布的一篇网站证书安全报告表明，有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书，当用户访问网站时，浏览器会将其标记为“安全”。那么，面对这种情况，我们又该如何识别、防范虚假HTTPS呢？

　　其实也很简单，就是网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。例如下图所示网站就安装了由中国金融认证中心（CFCA）颁发的OV证书，当你点击地址栏中的锁型图标时，如果显示网站身份经CFCA认证，即说明该网站证书、身份真实可靠，不用再担心碰到假的HTTPS啦。

HTTPS是李逵还是李鬼？全看你用啥证书

　　而如果是EV证书，则无需任何操作，网站真实性如下图这样一目了然。

HTTPS是李逵还是李鬼？全看你用啥证书

　　最后要特别强调的是，上述问题的产生与HTTPS加密协议无关，而是黑客利用免费证书钻了空子，此类情况也属于极个别现象，所以我们仍可对HTTPS充满信心，HTTPS网站的整体安全性依然远高于非HTTPS网站，推进HTTPS在全网普及的脚步也绝不能停歇。

　　如果您希望了解更多与HTTPS和SSL证书相关的信息，请拨打010-59798680或登录ssl.cfca.com.cn查询。　　