域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

HTTPS加密應(yīng)用在過去兩年間取得了驚人成果，全球互聯(lián)網(wǎng)超50%的網(wǎng)站流量啟用HTTPS加密。然而，100%的加密環(huán)境，就等于安全嗎?借助免費(fèi)DV SSL證書，越來越多的惡意軟件、釣魚網(wǎng)站轉(zhuǎn)向100%加密，得以逃避安全工具檢測(cè)、欺騙用戶信任;瀏覽器UI標(biāo)識(shí)混淆多變，使用戶困惑。加密概念得到廣泛普及的“后HTTPS時(shí)代”，網(wǎng)站身份認(rèn)證比加密更重要!如果你正在與欺詐網(wǎng)站通信，加密又有什么意義呢?

加密的惡意軟件站點(diǎn)和釣魚網(wǎng)站

瀏覽器廠商極力推動(dòng)HTTPS加密成為新常態(tài);免費(fèi)DV SSL證書以及證書頒發(fā)/安裝自動(dòng)化等產(chǎn)品工具，使得HTTPS加密更易于實(shí)施;SEO排名優(yōu)先，鼓勵(lì)更多網(wǎng)站加入HTTPS行列，這些都是HTTPS加密取得的積極進(jìn)展。

然而，HTTPS加密應(yīng)用的攀升，使得惡意軟件得以隱藏在加密流量中，更難被發(fā)現(xiàn)和阻止，今年近一半的網(wǎng)絡(luò)攻擊，使用隱藏在加密流量中的惡意軟件逃避檢測(cè);DV SSL證書正在成為欺詐者的“好搭檔”，仿冒域名、身份匿名、免費(fèi)、掛鎖、沒有UI警告，DV SSL證書給網(wǎng)絡(luò)釣魚網(wǎng)站塑造了“看起來很真實(shí)”的假象，讓受害者更加難以辨別。

使用免費(fèi)DV SSL證書的釣魚網(wǎng)站

DV SSL證書的缺陷

SSL證書設(shè)計(jì)之初被賦予兩個(gè)重要使命，一方面是實(shí)現(xiàn)數(shù)據(jù)加密傳輸，保護(hù)數(shù)據(jù)安全，另一方面是進(jìn)行服務(wù)器身份認(rèn)證，確保網(wǎng)站身份真實(shí)可信。由于網(wǎng)站身份認(rèn)證成本較高，最初的SSL證書應(yīng)用推廣進(jìn)程緩慢。DV SSL證書簡(jiǎn)化了身份認(rèn)證流程，僅驗(yàn)證域名即可頒發(fā)證書，大大降低了證書成本，受到市場(chǎng)廣泛歡迎。

但是，經(jīng)過簡(jiǎn)化的DV SSL證書僅起到數(shù)據(jù)傳輸加密的作用，完全失去了SSL證書原有的身份認(rèn)證功能。存在功能缺陷的DV SSL證書，雖然推動(dòng)了HTTPS加密的廣泛應(yīng)用，但也成為了黑客利用的工具。普及DV SSL證書不僅無法實(shí)現(xiàn)互聯(lián)網(wǎng)安全可信，反而為網(wǎng)絡(luò)攻擊提供了隱藏之地，讓互聯(lián)網(wǎng)安全更加岌岌可危。

瀏覽器UI標(biāo)識(shí)的混淆多變

大多數(shù)普通用戶(非極客或IT人士)看到HTTPS時(shí)，都給予強(qiáng)烈的信任，即使是僅為網(wǎng)站提供加密的DV SSL證書，也被認(rèn)為與使用OV SSL證書或EV SSL證書的網(wǎng)站具有同等信任水平。為什么會(huì)出現(xiàn)這樣的誤解?

因?yàn)楝F(xiàn)在的瀏覽器用戶界面(UI)在證書展示方面存在很大問題：

瀏覽器對(duì)DV SSL證書和OV SSL證書展示的UI相同，用戶無法區(qū)別

在Chrome未來的版本中，EV SSL證書的UI可能降級(jí)為和OV/DV SSL證書一樣

各瀏覽器UI的安全標(biāo)識(shí)不統(tǒng)一

個(gè)別瀏覽器經(jīng)常更換UI，用戶無法跟上步伐

增加很多普通用戶無法理解的UI警告(小問題、主要問題)

大多數(shù)移動(dòng)設(shè)備沒有任何加密符號(hào)

這些問題使得用戶對(duì)于瀏覽器UI安全標(biāo)識(shí)的含義感到非常困惑。

各瀏覽器安全標(biāo)識(shí)

基于市場(chǎng)對(duì)HTTPS和安全掛鎖的宣傳，用戶便認(rèn)為所有帶掛鎖和HTTPS的網(wǎng)站都是安全的。然而，事實(shí)并非如此!當(dāng)釣魚網(wǎng)站paypal.com.summary-spport.com僅通過域名驗(yàn)證獲取到合法的DV SSL證書后，Chrome直接給出了“安全HTTPS”的標(biāo)識(shí)。

PayPal釣魚網(wǎng)站，Chrome標(biāo)記為“安全HTTPS”

谷歌去年6月的新版UI方案，雖然是逐步淘汰HTTP的良好開始，但繼續(xù)執(zhí)行強(qiáng)化“安全/不安全” 兩種狀態(tài)的UI、弱化身份認(rèn)證信息甚至可能讓EV SSL證書UI消失的展示方案，那么未來真實(shí)的PayPal登錄頁面和釣魚頁面將看起來是一樣的(都顯示“安全”)，看不出有任何區(qū)別!

真假PayPal網(wǎng)站的瀏覽器標(biāo)識(shí)是一樣的

僅靠HTTPS已經(jīng)不夠，網(wǎng)站身份比加密更重要

過去HTTPS被視為網(wǎng)站可信度的標(biāo)志，獲取有效的HTTPS證書對(duì)于典型的釣魚網(wǎng)站來說太難，但現(xiàn)在HTTPS已經(jīng)不再是識(shí)別釣魚網(wǎng)站的有用信號(hào)，因?yàn)閻阂饩W(wǎng)站支持HTTPS已經(jīng)是再尋常不過的事情。如果你不知道正在跟誰通信，加密就失去了意義!和錯(cuò)誤的通信方通信，如果加密了危害更大。

網(wǎng)站身份信息才是反釣魚、反惡意網(wǎng)站的最佳防御機(jī)制，由于OV和EV SSL證書申請(qǐng)需要完成嚴(yán)格的身份驗(yàn)證，用戶身份是可以追溯的。所以，幾乎沒有惡意網(wǎng)站或釣魚網(wǎng)站使用OV或EV SSL證書。2016年頒發(fā)的證書中，25%是包含網(wǎng)站身份信息的OV和EV SSL證書，這么多網(wǎng)站的真實(shí)身份信息被大多數(shù)瀏覽器隱藏起來了，沒有直觀展示，需要用戶多次點(diǎn)擊才能獲取。為什么不使用通過可信第三方驗(yàn)證的身份數(shù)據(jù)來阻止網(wǎng)上誘騙和惡意軟件網(wǎng)站呢?

2016年各類證書占比

非常遺憾的是，目前的瀏覽器UI卻往相反的方向發(fā)展，對(duì)身份認(rèn)證信息的弱化展示，強(qiáng)化“安全”與“不安全”的兩極化標(biāo)識(shí)，不僅不利于用戶的判斷，而且使得真正有價(jià)值的身份認(rèn)證信息被浪費(fèi)，無法幫助用戶方便地識(shí)別欺詐網(wǎng)站。

公開支持網(wǎng)站身份原則(Endorse Website Identity)

網(wǎng)站身份比加密更重要，充分利用網(wǎng)站身份信息來抵御惡意站點(diǎn)和釣魚網(wǎng)站，需要全球CA的合作，更需要瀏覽器和網(wǎng)站所有者的支持。瀏覽器應(yīng)該將包含網(wǎng)站身份信息的證書(OV和EV SSL證書)與匿名證書(DV SSL證書)區(qū)分開來，采用通用的瀏覽器UI安全標(biāo)識(shí)顯示網(wǎng)站身份，并教育用戶認(rèn)識(shí)安全標(biāo)識(shí)的含義。對(duì)此，CA安全理事會(huì)(CASC)發(fā)起了一項(xiàng)“支持網(wǎng)站身份”的活動(dòng)，倡導(dǎo)CA、瀏覽器和網(wǎng)站所有者公開支持網(wǎng)站身份五項(xiàng)原則：

1.TLS/SSL服務(wù)器證書中的身份應(yīng)該被瀏覽器用作提升用戶安全的媒介

2.CA應(yīng)該鼓勵(lì)用戶申請(qǐng)和部署更高身份認(rèn)證級(jí)別的證書

3.OV SSL證書應(yīng)該得到不同于DV SSL證書的瀏覽器UI，向用戶展示網(wǎng)站身份信息

4.EV SSL證書應(yīng)該繼續(xù)獲得獨(dú)特的綠色地址欄的瀏覽器UI，區(qū)別于OV和DV，向用戶展示更高的安全性

5.瀏覽器應(yīng)該商定通用UI安全標(biāo)識(shí)，避免頻繁更改UI，并與其他方合作，教育用戶了解通用UI的安全標(biāo)識(shí)的含義，提升用戶安全性。

全球各大CA(包括沃通CA)都已經(jīng)公開支持網(wǎng)站身份原則。如果您對(duì)網(wǎng)站身份原則表示支持，歡迎登錄CASC網(wǎng)站簽署支持，共同鑄造更加安全的互聯(lián)網(wǎng)環(huán)境。

本文根據(jù)CAB Forum主席Kirk Hall在RSA 2017的演講稿翻譯整理

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！