域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
HTTPS加密應(yīng)用在過(guò)去兩年間取得了驚人成果,全球互聯(lián)網(wǎng)超50%的網(wǎng)站流量啟用HTTPS加密。然而,100%的加密環(huán)境,就等于安全嗎?借助免費(fèi)DV SSL證書(shū),越來(lái)越多的惡意軟件、釣魚(yú)網(wǎng)站轉(zhuǎn)向100%加密,得以逃避安全工具檢測(cè)、欺騙用戶信任;瀏覽器UI標(biāo)識(shí)混淆多變,使用戶困惑。加密概念得到廣泛普及的“后HTTPS時(shí)代”,網(wǎng)站身份認(rèn)證比加密更重要!如果你正在與欺詐網(wǎng)站通信,加密又有什么意義呢?
加密的惡意軟件站點(diǎn)和釣魚(yú)網(wǎng)站
瀏覽器廠商極力推動(dòng)HTTPS加密成為新常態(tài);免費(fèi)DV SSL證書(shū)以及證書(shū)頒發(fā)/安裝自動(dòng)化等產(chǎn)品工具,使得HTTPS加密更易于實(shí)施;SEO排名優(yōu)先,鼓勵(lì)更多網(wǎng)站加入HTTPS行列,這些都是HTTPS加密取得的積極進(jìn)展。
然而,HTTPS加密應(yīng)用的攀升,使得惡意軟件得以隱藏在加密流量中,更難被發(fā)現(xiàn)和阻止,今年近一半的網(wǎng)絡(luò)攻擊,使用隱藏在加密流量中的惡意軟件逃避檢測(cè);DV SSL證書(shū)正在成為欺詐者的“好搭檔”,仿冒域名、身份匿名、免費(fèi)、掛鎖、沒(méi)有UI警告,DV SSL證書(shū)給網(wǎng)絡(luò)釣魚(yú)網(wǎng)站塑造了“看起來(lái)很真實(shí)”的假象,讓受害者更加難以辨別。
使用免費(fèi)DV SSL證書(shū)的釣魚(yú)網(wǎng)站
DV SSL證書(shū)的缺陷
SSL證書(shū)設(shè)計(jì)之初被賦予兩個(gè)重要使命,一方面是實(shí)現(xiàn)數(shù)據(jù)加密傳輸,保護(hù)數(shù)據(jù)安全,另一方面是進(jìn)行服務(wù)器身份認(rèn)證,確保網(wǎng)站身份真實(shí)可信。由于網(wǎng)站身份認(rèn)證成本較高,最初的SSL證書(shū)應(yīng)用推廣進(jìn)程緩慢。DV SSL證書(shū)簡(jiǎn)化了身份認(rèn)證流程,僅驗(yàn)證域名即可頒發(fā)證書(shū),大大降低了證書(shū)成本,受到市場(chǎng)廣泛歡迎。
但是,經(jīng)過(guò)簡(jiǎn)化的DV SSL證書(shū)僅起到數(shù)據(jù)傳輸加密的作用,完全失去了SSL證書(shū)原有的身份認(rèn)證功能。存在功能缺陷的DV SSL證書(shū),雖然推動(dòng)了HTTPS加密的廣泛應(yīng)用,但也成為了黑客利用的工具。普及DV SSL證書(shū)不僅無(wú)法實(shí)現(xiàn)互聯(lián)網(wǎng)安全可信,反而為網(wǎng)絡(luò)攻擊提供了隱藏之地,讓互聯(lián)網(wǎng)安全更加岌岌可危。
瀏覽器UI標(biāo)識(shí)的混淆多變
大多數(shù)普通用戶(非極客或IT人士)看到HTTPS時(shí),都給予強(qiáng)烈的信任,即使是僅為網(wǎng)站提供加密的DV SSL證書(shū),也被認(rèn)為與使用OV SSL證書(shū)或EV SSL證書(shū)的網(wǎng)站具有同等信任水平。為什么會(huì)出現(xiàn)這樣的誤解?
因?yàn)楝F(xiàn)在的瀏覽器用戶界面(UI)在證書(shū)展示方面存在很大問(wèn)題:
瀏覽器對(duì)DV SSL證書(shū)和OV SSL證書(shū)展示的UI相同,用戶無(wú)法區(qū)別
在Chrome未來(lái)的版本中,EV SSL證書(shū)的UI可能降級(jí)為和OV/DV SSL證書(shū)一樣
各瀏覽器UI的安全標(biāo)識(shí)不統(tǒng)一
個(gè)別瀏覽器經(jīng)常更換UI,用戶無(wú)法跟上步伐
增加很多普通用戶無(wú)法理解的UI警告(小問(wèn)題、主要問(wèn)題)
大多數(shù)移動(dòng)設(shè)備沒(méi)有任何加密符號(hào)
這些問(wèn)題使得用戶對(duì)于瀏覽器UI安全標(biāo)識(shí)的含義感到非常困惑。
各瀏覽器安全標(biāo)識(shí)
基于市場(chǎng)對(duì)HTTPS和安全掛鎖的宣傳,用戶便認(rèn)為所有帶掛鎖和HTTPS的網(wǎng)站都是安全的。然而,事實(shí)并非如此!當(dāng)釣魚(yú)網(wǎng)站paypal.com.summary-spport.com僅通過(guò)域名驗(yàn)證獲取到合法的DV SSL證書(shū)后,Chrome直接給出了“安全HTTPS”的標(biāo)識(shí)。
PayPal釣魚(yú)網(wǎng)站,Chrome標(biāo)記為“安全HTTPS”
谷歌去年6月的新版UI方案,雖然是逐步淘汰HTTP的良好開(kāi)始,但繼續(xù)執(zhí)行強(qiáng)化“安全/不安全” 兩種狀態(tài)的UI、弱化身份認(rèn)證信息甚至可能讓EV SSL證書(shū)UI消失的展示方案,那么未來(lái)真實(shí)的PayPal登錄頁(yè)面和釣魚(yú)頁(yè)面將看起來(lái)是一樣的(都顯示“安全”),看不出有任何區(qū)別!
真假PayPal網(wǎng)站的瀏覽器標(biāo)識(shí)是一樣的
僅靠HTTPS已經(jīng)不夠,網(wǎng)站身份比加密更重要
過(guò)去HTTPS被視為網(wǎng)站可信度的標(biāo)志,獲取有效的HTTPS證書(shū)對(duì)于典型的釣魚(yú)網(wǎng)站來(lái)說(shuō)太難,但現(xiàn)在HTTPS已經(jīng)不再是識(shí)別釣魚(yú)網(wǎng)站的有用信號(hào),因?yàn)閻阂饩W(wǎng)站支持HTTPS已經(jīng)是再尋常不過(guò)的事情。如果你不知道正在跟誰(shuí)通信,加密就失去了意義!和錯(cuò)誤的通信方通信,如果加密了危害更大。
網(wǎng)站身份信息才是反釣魚(yú)、反惡意網(wǎng)站的最佳防御機(jī)制,由于OV和EV SSL證書(shū)申請(qǐng)需要完成嚴(yán)格的身份驗(yàn)證,用戶身份是可以追溯的。所以,幾乎沒(méi)有惡意網(wǎng)站或釣魚(yú)網(wǎng)站使用OV或EV SSL證書(shū)。2016年頒發(fā)的證書(shū)中,25%是包含網(wǎng)站身份信息的OV和EV SSL證書(shū),這么多網(wǎng)站的真實(shí)身份信息被大多數(shù)瀏覽器隱藏起來(lái)了,沒(méi)有直觀展示,需要用戶多次點(diǎn)擊才能獲取。為什么不使用通過(guò)可信第三方驗(yàn)證的身份數(shù)據(jù)來(lái)阻止網(wǎng)上誘騙和惡意軟件網(wǎng)站呢?
2016年各類證書(shū)占比
非常遺憾的是,目前的瀏覽器UI卻往相反的方向發(fā)展,對(duì)身份認(rèn)證信息的弱化展示,強(qiáng)化“安全”與“不安全”的兩極化標(biāo)識(shí),不僅不利于用戶的判斷,而且使得真正有價(jià)值的身份認(rèn)證信息被浪費(fèi),無(wú)法幫助用戶方便地識(shí)別欺詐網(wǎng)站。
公開(kāi)支持網(wǎng)站身份原則(Endorse Website Identity)
網(wǎng)站身份比加密更重要,充分利用網(wǎng)站身份信息來(lái)抵御惡意站點(diǎn)和釣魚(yú)網(wǎng)站,需要全球CA的合作,更需要瀏覽器和網(wǎng)站所有者的支持。瀏覽器應(yīng)該將包含網(wǎng)站身份信息的證書(shū)(OV和EV SSL證書(shū))與匿名證書(shū)(DV SSL證書(shū))區(qū)分開(kāi)來(lái),采用通用的瀏覽器UI安全標(biāo)識(shí)顯示網(wǎng)站身份,并教育用戶認(rèn)識(shí)安全標(biāo)識(shí)的含義。對(duì)此,CA安全理事會(huì)(CASC)發(fā)起了一項(xiàng)“支持網(wǎng)站身份”的活動(dòng),倡導(dǎo)CA、瀏覽器和網(wǎng)站所有者公開(kāi)支持網(wǎng)站身份五項(xiàng)原則:
1.TLS/SSL服務(wù)器證書(shū)中的身份應(yīng)該被瀏覽器用作提升用戶安全的媒介
2.CA應(yīng)該鼓勵(lì)用戶申請(qǐng)和部署更高身份認(rèn)證級(jí)別的證書(shū)
3.OV SSL證書(shū)應(yīng)該得到不同于DV SSL證書(shū)的瀏覽器UI,向用戶展示網(wǎng)站身份信息
4.EV SSL證書(shū)應(yīng)該繼續(xù)獲得獨(dú)特的綠色地址欄的瀏覽器UI,區(qū)別于OV和DV,向用戶展示更高的安全性
5.瀏覽器應(yīng)該商定通用UI安全標(biāo)識(shí),避免頻繁更改UI,并與其他方合作,教育用戶了解通用UI的安全標(biāo)識(shí)的含義,提升用戶安全性。
全球各大CA(包括沃通CA)都已經(jīng)公開(kāi)支持網(wǎng)站身份原則。如果您對(duì)網(wǎng)站身份原則表示支持,歡迎登錄CASC網(wǎng)站簽署支持,共同鑄造更加安全的互聯(lián)網(wǎng)環(huán)境。
本文根據(jù)CAB Forum主席Kirk Hall在RSA 2017的演講稿翻譯整理
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!