当货物大量出售时,价格就会下降。这可能不是经济学的第一定律,但它是适用的。由此推断,如果实际上没有生产成本,也不涉及原材料,这些商品的价格将降至零。通常,他们会作为免费礼物提供,以促进其他更昂贵的商品的销售。

类似的事情也发生在SSL证书上。有几家公司免费提供这些虚拟主机,包括那些没有彻底检查买家身份的公司。更好的说法是:他们不在乎谁买的包裹,只要他们支付账单。

因此,虽然用户现在可以在每个网站上看到绿色的挂锁,特别是在他们进行金融交易的网站上,但我们对基础证书的信任正在下降。

定义

为了澄清我们正在讨论的内容,让我们看一下我们将要讨论的协议的定义。

超文本传输协议安全(HTTPS)是标准web传输协议(HTTP)的变体,它通过安全套接字层(SSL)或传输层安全(TLS)协议连接在传输中的数据上增加了一层安全。

安全套接字层(SSL)是一种计算机网络协议,用于在不安全的网络(如Internet)上保护网络应用程序客户端和服务器之间的连接。

传输层安全(Transport Layer Security, TLS)在SSL被弃用时取代了它,但TLS向后兼容SSL 3.0。

因此,基本上TLS是一种计算机网络协议,它在两个通信应用程序之间提供隐私和数据完整性。它用于网络浏览器和其他需要在网络上安全地交换数据的应用程序。

贝宝CA赛门铁克

绿色的挂锁

那么,绿色挂锁在哪里发挥作用呢?绿色的挂锁仅仅意味着进出网站的流量是加密的。由证书提供者(证书颁发机构或CA)提供的证书用于设置此加密。听起来不错,对吧?但是,当你看到这样一个挂锁时,你唯一能确定的是,你的计算机连接到你在地址栏看到的网站。

让我们用上面的例子来解释其中的一些。在挂锁上单击右键,我们可以看到有关安全连接的更多信息。

细节贝宝证书

因此,我们与PayPal有限公司拥有的域名paypal.com建立了安全连接,证书颁发机构是赛门铁克。

让我们比较一下这个真实的和一个已知的贝宝钓鱼网站使用的:

贝宝的钓鱼网站

正如你所看到的,钓鱼者在他们的网站上也有一个绿色的挂锁。但当我们看一下细节:

网络钓鱼证书

很容易看到,仅从浏览器地址栏,我们没有连接到贝宝。com。在附加信息中,我们可以看到钓鱼者使用了来自CA的免费证书让我们加密

我知道在这个例子中很容易在浏览器的地址栏中看到错误的地址,但是typosquatted域很难发现,因为他们故意使用与合法网站相似的域名。PayPal已经注册了很多这样的域名来保护他们的客户。

所以,我们已经确定,光有绿色锁是不够的。事实上,每个月都有超过一百万的钓鱼网站出现.考虑到每天有那么多的新网站(不仅仅是钓鱼网站)诞生,并且知道托管交易包括免费证书,而且非常便宜,我们可以很容易地假设托管提供商没有资源来检查每个新网站。即使他们确实执行了这些检查,谁去检查网站是否没有改变,一旦它已经上线?

因此,由于访问者是在网络钓鱼网站上输入证书的人,因此,看起来球在他的球场上。

但是有帮助

你不需要感到无助。骑兵以各种形式前来救援。有些浏览器在让你访问已知的网络钓鱼或其他恶意网站之前会警告你。这种方法基于黑名单,所以如果你是第一批访客,你仍然可以在没有任何警告的情况下进入这样的网站。

火狐警告欺骗性网站

一些安全软件,包括必威平台APP,拦截已知的钓鱼和其他恶意网站。这些方法可以基于黑名单和行为分析。

阻塞的网络钓鱼

还有一些证书是在延长检查后才发放的。这些证书称为EV(扩展验证)证书。为了显示不同,我们需要往回走一点。

差异EV和OV证书

下面的截图是PayPal证书原件,是扩展件。上面的截图是一个常规的域名验证(DV)证书(被钓鱼网站使用)。您可能会注意到,EV证书与DV证书的显示方式不同。它们在不同的浏览器中显示的方式不同,所以您可能想要熟悉这些在您选择的浏览器中显示的方式。

检查,检查,第三次检查

由于HTTPS和TLS变得越来越普遍和便宜,钓鱼者不再以任何方式被禁止在他们的欺骗性网站上使用绿色挂锁。因此,建议用户注意挂锁后面的证书类型。

最好的做法是在你用来传输个人或财务数据的网站上设置快捷方式,而不是点击通过邮件发送给你的链接或通过其他方式找到的链接。第一次联系时,在网站上需要输入个人信息或证书的事情如下:

  • 地址栏里有绿色挂锁吗?
  • 浏览器地址栏中的地址是否符合您的期望?
  • 是否有EV证书?

只有当您确定该网站属于您希望访问的公司的域名时,才需要输入您的凭证或个人数据。

保持安全!