“不要因為一個網站在瀏覽器位址列中有一個鎖的標識或“https”就信任它。”
6月10號,美國聯邦調查局(FBI)就HTTPS網路釣魚案件的上升發出了公開警告。
幾周前,Anti-Phishing Working Group釋出了一份報告,稱他們在2019年第一季度追蹤的釣魚網站中,58%使用HTTPS,甚至有些估計認為這個數字高達90%。
我們很難不將其歸因於免費的SSL證書。提供免費證書是一件很好的事情,它的目的是幫助網際網路服務不足的部分,我們對此表示讚賞,但正如FBI指出的,網路釣魚的存在使得人們不得不改變以往看待安全的方式。
以“https”開頭的網站應該為訪問者提供隱私和安全。畢竟,HTTPS(超文字傳輸協議)中的“S”代表“Secure”。實際上,網路安全培訓的重點是鼓勵人們在這些安全網站的瀏覽器位址列中尋找鎖的標識, “https”的存在和鎖圖示理應表明web流量是加密的,並且訪問者可以安全地共享資料。不幸的是,網路犯罪分子利用的就是公眾對“https”和鎖圖示的信任。他們申請證書,建立經第三方安全認證的網站,精心設計網站,模仿值得信賴的公司或電子郵件聯絡人向潛在的受害者傳送電子郵件,引誘使用者到一個看起來安全的惡意網站來獲取敏感的登入或其他資訊。
坦率地說,這應該足以讓我們重新評估我們都在尋找和使用的信任指標。我們需要更加關注伺服器(和客戶機)身份。企業和網站本身更有責任維護自己的身份。具有諷刺意味的是,由於相關行業論壇的不作為,一個完全無意的結果是,EV證書正成為成功地證明身份的僅有方法之一。
雖然EV證書並不完美,但它確實要求組織經過可信實體的全面審查。這確實意味著一些事情,沒有教育公眾將EV作為信任指標,我們錯過了一個巨大的機會。
再一次,確保客戶知道在瀏覽器的位址列中查詢EV 身份標識對於單個組織來說更加義不容辭。我們以前已經看到過使用插入符和靜態標頭檔案完成此操作,或者通過快速傳送郵件到郵件列表也可以提供通知。
對於EV的最大的看法是“人們不知道要去尋找它。”並且它表現的好像是一個無法解決的問題。 它真的不是。 EV是證明身份並保護您自己公司免受網路釣魚者欺騙的最佳方式。 這是一個非常寶貴的工具。
如果EV正在發揮作用,那麼網路釣魚的發生率將不會以目前的速度增長。 免費的SSL證書使這些網路釣魚網站越來越令人信服,且幾乎每月有數百萬的釣魚網站被建立。
擁有HTTPS和綠色掛鎖已經不夠了,你需要證明你的身份。雖然方法有限,但TrustAsia EV證書一直是最好的方式之一。
【來自SSL China】