2019年5月14日 作者:Dean Coclin
使用TLS证书来保护并识别网站的做法在万维网上快速增加。这种趋势是由浏览器所推动的,浏览器对非 https 网站显示负面的提示内容,从而鼓励网站使用TLS。以下屏幕截图是Firefox和Chrome针对未使用TLS证书的网站所显示的新提示内容
图1:显示给Firefox用户的对不安站的提示内容
图2:显示给Chrome用户的对不安站的提示内容
Chrome显示的提示内容更为醒目,但预计Firefox也会使其警告更为醒目。
TLS证书有三种类型:域名验证(DV)证书,组织验证(OV)证书和扩展验证(EV)证书。
其基本差异如下表所示:
表1:DV/OV/EV证书的比较
三类证书都提供浏览器与服务器之间的加密。然而,加密不提供身份验证。我们知道浏览器加密数据,将其传输至域名经过验证的某个服务器。但是使用DV证书时我们对域名一无所知。使用OV与EV证书时,我们可以获得关于域名的更多信息,包括企业所在地(OV证书),在使用EV证书的情况下还能获得更多详细信息。
由于网络中很过90%的内容都已加密,而且无论网站使用哪种证书,浏览器都会为所有的https网站显示绿色挂锁标记,因此仅“寻找挂锁标记”并不是一种正确的做法,这种做法不足以为用户防范欺诈网站。用户必须努力寻找与网站身份有关的线索。在使用EV证书的情况下,大多数浏览器会在地址栏中的URL旁显示企业的法定名称。这能够很醒目地显示出,该网站已经经过了身份验证。
要查看的另一个线索是为网站颁发证书的证书颁发机构(CA)的名称。对于某些浏览器,用户可以将鼠标悬停在挂锁标记上以查看CA的名称。如果提示内容显示的是“经过DigiCert验证”,那么您可以确定,该网站的身份已经根据行业要求通过验证。DigiCert等领军CA不断更新CA验证身份所遵循的标准,并实施严格的验证流程。请查看证书颁发机构的名称是否可信,如下图所示:
图3:将鼠标悬停在Firefox中的URL上会显示颁发证书的CA名称
需要一些努力才能获得OV与EV证书。首先,请求证书的实体必须是一个合法有效的组织,而且CA必须查看公共注册信息以对其进行身份验证。由于这涉及到人工操作,因此获得这类证书会产生相关费用。对于合法组织而言,这些通常都不是障碍。但是对于网络犯罪分子而言,这会带来很大的阻碍,而通过获得OA证书可以避免这些阻碍。因此DV已经成为黑客与犯罪分子的证书。
近的研究表明,近一半的钓鱼网站现在都有挂锁标记。这些网站往往都能获取DV证书。黑客们知道他们可以在不提供任何个人信息的情况下自动请求DV证书,而且有少数CA免费提供DV证书。所以甚至连信用卡也不需要。近期,一份有关某国涉嫌DNS攻击的报告称,黑客使用“证书冒充”手段来隐藏其行动,他们通过Let's Encrypt和Comodo(现在被称为Sectigo)获取证书。由于这些证书易于获取,因此难怪网络犯罪分子DV证书以使其网站合法化。
那么消费者可以做些什么来识别欺诈网站呢?重要的事情说三遍:检查,检查,还是检查。
1. 尽管在过去只要寻找到挂锁标记即可,但是现在还要对挂锁标记进行检查。将鼠标悬停在挂锁标记上以查看颁发证书的是哪家CA。如果CA是DigiCert,那么您可以确信,该网站已经根据行业标准通过验证,而且在使用OV或EV证书的情况下,网站所有者的身份已经通过审查以提供更多的保护。
2. 仔细观察地址栏并认真查看网址。它是否与您的预期一致?
3. 公司名称是否显示在挂锁标记旁边,或者是否有绿色地址栏?如果是这样,取决于浏览器的显示情况,它是EV证书,您可以充分确信该网站是真实的。
然而如果网站使用的是DV证书怎么办?这是否意味着网站不可信?并不一定。和之前一样,要认真检查上述项目。有数以百万计的网站使用DV证书,这类证书有很多好用途。但是电子商务/金融交易不在此列。
即将推出更多新内容,请查看更多博客文章,例如:
符合PSD2标准的合格证书
区分DV,OV和EV证书的行业验证要求
EV标准可能进行的增强
不仅仅是绿色地址栏:高保障度证书对企业的其他益处
Dean Coclin简介
Dean Coclin是DigiCert的业务开发更高一级总监。Dean为公司带来了30多年的软件、安全和电信领域的业务开发与产品管理经验。作为DigiCert的业务开发更高一级总监,他负责代表公司参与行业联盟,并推动公司与技术合作伙伴建立很高联盟。他是CA/浏览器论坛的前任主席,也是该论坛的现任副主席。他还是ASC X9 PKI研究小组的主席。
(文章来自DigiCert)
