作为网络安全的一项重要保障,越来越多的网站开始安装SSL证书来认证网站身份和进行信息传输加密,从而避免了钓鱼网站和信息泄露的危害。但是很多企业或网站运营者个人为了节省成本,往往倾向于使用免费的SSL证书,但殊不知这样埋下了很大的安全隐患。
SSL证书分类有几何?
目前SSL证书主要有DV型(域名型)、OV型(组织型)和EV型(增强型)三种。其中OV和EV两种证书在签发之时,会要求网站提交身份资质文件(如企业营业执照、组织机构代码证等),经过人工审核后才会颁发。EV证书还会要求追加律师函的审核,这样就保证了网站的身份准确性,有效防止钓鱼网站。
而DV证书往往通过程序自动匹配申请人和所申请的域名信息,只要两者信息匹配就可以获得证书,这样就无法保证申请证书的网站是否存在钓鱼仿冒行为。虽然DV证书的安全性较低,但由于不涉及人工审核,所以成本较低,有些服务商甚至会作为免费证书发放。
除了DV证书之外,还有网站会采用自制的证书,这种证书同样也可以实现HTTPS协议,且成本较低,因此很受人追捧。
但这两种免费的证书在安全性上与OV证书和EV证书相比要远远不如,因为这两种证书都仅能起到HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者身份的真实性验证。如果身份是虚假的,那加密又有何意义?
免费SSL证书引发的安全事故
2015年12月,安全公司Trend Micro发布消息称,一个恶意广告服务器通过植入银行木马,可自动感染访客的电脑,让黑客在用户不知情的情况下远程访问系统。此恶意服务器安装了Let's Encrypt的免费SSL证书,使其链接可以显示代表安全的HTTPS加密标识,骗取了用户信任。Trend Micro的报告指出,Let's Encrypt的服务存在潜在安全问题,并呼吁该组织在发现免费SSL证书被滥用之后就收回。
免费证书,谨慎为妙
随着用户越来越信任安装SSL证书的网站,黑客也开始利用这种信任,通过获得免费证书为钓鱼网站披上SSL证书外衣,而用户往往无法做出正确的辨别,从而导致个人信息的泄露,经济利益的受损。本来是为了用户信息安全而生的SSL证书,此时反而成了一种欺骗用户的工具。
因此为了保障用户的权益,维护企业的信誉,企业网站尽可能选择使用OV或者EV证书,尽量不使用免费的DV证书或者是自签名的证书。
相关推荐: