“钓鱼”网站是如何用上HTTPS的:如果一家网站想实现HTTPS,就必须安装SSL证书。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理SSL证书。当网站申请SSL证书时,通常要向CA提供域名所有者的身份证明资料(如企业营业执照、组织机构代码证等)等,经过CA人工审核通过并支付一定费用后才可颁发,这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核,黑客基本不可能得到OV或EV证书,但免费SSL证书的出现让黑客获得了可乘之机。
因为申请免费证书时不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以为自己拥有的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生
因为申请免费证书时不再需要人工审核,仅通过系统自动匹配域名所有权,匹配成功后即可获得证书,所以黑客完全可以为自己拥有的域名申请到免费证书,再用这个域名搭建一个以HTTPS开头的“钓鱼”网站,一个虚假的HTTPS也就此诞生
过去一年,Let’s Encrypt CA 被发现向含有 PayPal 一词的域名或证书标识签发了 15270 个SSL证书,其中 14766个证书是签发给了托管在钓鱼网站上的域名。Let’s Encrypt CA 不是唯一向钓鱼网站签发 SSL 证书的 CA,其它 CA 也存在这一问题,但数量要比提供免费服务的 Let’s Encrypt CA 低几个数量级 https://t.cn/R6X47Vq
服务用心支持,天威诚信17年SSL证书行业经验,可以应对和解决各种复杂及突发情况,为用户提供最优质的本地化服务与技术支持。天威诚信公司作为合法的CA认证机构,以全面的安全解决方案、领先的证书管理平台、专业的技术支持团队及可靠的CA运营机制为中国用户提供最权威的认证服务和最安全的认证保障。https://t.cn/RPUJokC
✋热门推荐