域名預(yù)訂/競價，好“米”不錯過

HTTPS加密應(yīng)用在過去兩年間取得了驚人成果，全球互聯(lián)網(wǎng)超50%的網(wǎng)站流量啟用HTTPS加密。然而，100%的加密環(huán)境，就等于安全嗎?借助免費DV SSL證書，越來越多的惡意軟件、釣魚網(wǎng)站轉(zhuǎn)向100%加密，得以逃避安全工具檢測、欺騙用戶信任;瀏覽器UI標(biāo)識混淆多變，使用戶困惑。加密概念得到廣泛普及的“后HTTPS時代”，網(wǎng)站身份認證比加密更重要!如果你正在與欺詐網(wǎng)站通信，加密又有什么意義呢?

加密的惡意軟件站點和釣魚網(wǎng)站

瀏覽器廠商極力推動HTTPS加密成為新常態(tài);免費DV SSL證書以及證書頒發(fā)/安裝自動化等產(chǎn)品工具，使得HTTPS加密更易于實施;SEO排名優(yōu)先，鼓勵更多網(wǎng)站加入HTTPS行列，這些都是HTTPS加密取得的積極進展。

然而，HTTPS加密應(yīng)用的攀升，使得惡意軟件得以隱藏在加密流量中，更難被發(fā)現(xiàn)和阻止，今年近一半的網(wǎng)絡(luò)攻擊，使用隱藏在加密流量中的惡意軟件逃避檢測;DV SSL證書正在成為欺詐者的“好搭檔”，仿冒域名、身份匿名、免費、掛鎖、沒有UI警告，DV SSL證書給網(wǎng)絡(luò)釣魚網(wǎng)站塑造了“看起來很真實”的假象，讓受害者更加難以辨別。

使用免費DV SSL證書的釣魚網(wǎng)站

DV SSL證書的缺陷

SSL證書設(shè)計之初被賦予兩個重要使命，一方面是實現(xiàn)數(shù)據(jù)加密傳輸，保護數(shù)據(jù)安全，另一方面是進行服務(wù)器身份認證，確保網(wǎng)站身份真實可信。由于網(wǎng)站身份認證成本較高，最初的SSL證書應(yīng)用推廣進程緩慢。DV SSL證書簡化了身份認證流程，僅驗證域名即可頒發(fā)證書，大大降低了證書成本，受到市場廣泛歡迎。

但是，經(jīng)過簡化的DV SSL證書僅起到數(shù)據(jù)傳輸加密的作用，完全失去了SSL證書原有的身份認證功能。存在功能缺陷的DV SSL證書，雖然推動了HTTPS加密的廣泛應(yīng)用，但也成為了黑客利用的工具。普及DV SSL證書不僅無法實現(xiàn)互聯(lián)網(wǎng)安全可信，反而為網(wǎng)絡(luò)攻擊提供了隱藏之地，讓互聯(lián)網(wǎng)安全更加岌岌可危。

瀏覽器UI標(biāo)識的混淆多變

大多數(shù)普通用戶(非極客或IT人士)看到HTTPS時，都給予強烈的信任，即使是僅為網(wǎng)站提供加密的DV SSL證書，也被認為與使用OV SSL證書或EV SSL證書的網(wǎng)站具有同等信任水平。為什么會出現(xiàn)這樣的誤解?

因為現(xiàn)在的瀏覽器用戶界面(UI)在證書展示方面存在很大問題：

瀏覽器對DV SSL證書和OV SSL證書展示的UI相同，用戶無法區(qū)別

在Chrome未來的版本中，EV SSL證書的UI可能降級為和OV/DV SSL證書一樣

各瀏覽器UI的安全標(biāo)識不統(tǒng)一

個別瀏覽器經(jīng)常更換UI，用戶無法跟上步伐

增加很多普通用戶無法理解的UI警告(小問題、主要問題)

大多數(shù)移動設(shè)備沒有任何加密符號

這些問題使得用戶對于瀏覽器UI安全標(biāo)識的含義感到非常困惑。

各瀏覽器安全標(biāo)識

基于市場對HTTPS和安全掛鎖的宣傳，用戶便認為所有帶掛鎖和HTTPS的網(wǎng)站都是安全的。然而，事實并非如此!當(dāng)釣魚網(wǎng)站paypal.com.summary-spport.com僅通過域名驗證獲取到合法的DV SSL證書后，Chrome直接給出了“安全HTTPS”的標(biāo)識。

PayPal釣魚網(wǎng)站，Chrome標(biāo)記為“安全HTTPS”

谷歌去年6月的新版UI方案，雖然是逐步淘汰HTTP的良好開始，但繼續(xù)執(zhí)行強化“安全/不安全” 兩種狀態(tài)的UI、弱化身份認證信息甚至可能讓EV SSL證書UI消失的展示方案，那么未來真實的PayPal登錄頁面和釣魚頁面將看起來是一樣的(都顯示“安全”)，看不出有任何區(qū)別!

真假PayPal網(wǎng)站的瀏覽器標(biāo)識是一樣的

僅靠HTTPS已經(jīng)不夠，網(wǎng)站身份比加密更重要

過去HTTPS被視為網(wǎng)站可信度的標(biāo)志，獲取有效的HTTPS證書對于典型的釣魚網(wǎng)站來說太難，但現(xiàn)在HTTPS已經(jīng)不再是識別釣魚網(wǎng)站的有用信號，因為惡意網(wǎng)站支持HTTPS已經(jīng)是再尋常不過的事情。如果你不知道正在跟誰通信，加密就失去了意義!和錯誤的通信方通信，如果加密了危害更大。

網(wǎng)站身份信息才是反釣魚、反惡意網(wǎng)站的最佳防御機制，由于OV和EV SSL證書申請需要完成嚴格的身份驗證，用戶身份是可以追溯的。所以，幾乎沒有惡意網(wǎng)站或釣魚網(wǎng)站使用OV或EV SSL證書。2016年頒發(fā)的證書中，25%是包含網(wǎng)站身份信息的OV和EV SSL證書，這么多網(wǎng)站的真實身份信息被大多數(shù)瀏覽器隱藏起來了，沒有直觀展示，需要用戶多次點擊才能獲取。為什么不使用通過可信第三方驗證的身份數(shù)據(jù)來阻止網(wǎng)上誘騙和惡意軟件網(wǎng)站呢?

2016年各類證書占比

非常遺憾的是，目前的瀏覽器UI卻往相反的方向發(fā)展，對身份認證信息的弱化展示，強化“安全”與“不安全”的兩極化標(biāo)識，不僅不利于用戶的判斷，而且使得真正有價值的身份認證信息被浪費，無法幫助用戶方便地識別欺詐網(wǎng)站。

公開支持網(wǎng)站身份原則(Endorse Website Identity)

網(wǎng)站身份比加密更重要，充分利用網(wǎng)站身份信息來抵御惡意站點和釣魚網(wǎng)站，需要全球CA的合作，更需要瀏覽器和網(wǎng)站所有者的支持。瀏覽器應(yīng)該將包含網(wǎng)站身份信息的證書(OV和EV SSL證書)與匿名證書(DV SSL證書)區(qū)分開來，采用通用的瀏覽器UI安全標(biāo)識顯示網(wǎng)站身份，并教育用戶認識安全標(biāo)識的含義。對此，CA安全理事會(CASC)發(fā)起了一項“支持網(wǎng)站身份”的活動，倡導(dǎo)CA、瀏覽器和網(wǎng)站所有者公開支持網(wǎng)站身份五項原則：

1.TLS/SSL服務(wù)器證書中的身份應(yīng)該被瀏覽器用作提升用戶安全的媒介

2.CA應(yīng)該鼓勵用戶申請和部署更高身份認證級別的證書

3.OV SSL證書應(yīng)該得到不同于DV SSL證書的瀏覽器UI，向用戶展示網(wǎng)站身份信息

4.EV SSL證書應(yīng)該繼續(xù)獲得獨特的綠色地址欄的瀏覽器UI，區(qū)別于OV和DV，向用戶展示更高的安全性

5.瀏覽器應(yīng)該商定通用UI安全標(biāo)識，避免頻繁更改UI，并與其他方合作，教育用戶了解通用UI的安全標(biāo)識的含義，提升用戶安全性。

全球各大CA(包括沃通CA)都已經(jīng)公開支持網(wǎng)站身份原則。如果您對網(wǎng)站身份原則表示支持，歡迎登錄CASC網(wǎng)站簽署支持，共同鑄造更加安全的互聯(lián)網(wǎng)環(huán)境。

本文根據(jù)CAB Forum主席Kirk Hall在RSA 2017的演講稿翻譯整理

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！