安全主题

域名验证 SSL/TLS 证书的风险

 SSL 证书不仅能加密数据,而且还能对网站进行身份验证。这项基础功能很重要,因为它能建立信任。网站访问者看到 SSL 挂锁或 HTTPS,他们就会认为这个站点是安全的。

什么是域名验证?

在打击假冒网站、网络钓鱼和欺诈行为的过程中,值得信赖的 SSL 证书必不可少。这正是域名验证证书有危险性的原因所在。证书颁发机构 (CA) 会向域名 WHOIS 记录中列出的任何域管理员联系人颁发域名验证证书。他们只向联系人邮件地址发送一封邮件,仅此而已。

 

这是验证 SSL 证书所使用的的最低级别的身份验证。更高的级别包括组织验证和扩展验证证书,这两种证书都需要进行更多详细的检查。

 

什么是域名验证?

SSL/TLS 身份验证

域名验证为什么有风险?

域名验证的问题在于,互联网犯罪分子可以轻而易举地为通过错误拼写仿冒合法网站的网络钓鱼网站获取 SSL 证书。例如,如果攻击者的目标是 BankOne.com,他们可以注册 bank1.com,并使用免费的 Webmail 帐户获得该网站的域名验证 SSL 证书。

普通访客被骗至钓鱼网站后,他们会看到让人放心的 https 和 SSL 挂锁图标,而不一定会发现拼写错误的网址。

如何识别域名验证证书

事实上,判定一份证书是否为域名验证证书颇有难度。所以,用户很可能会给予您的网站以及仿冒您的网站的网络钓鱼网站同样的信任,当他们发现自己的个人信息被盗取后,自然会将责任归咎于您。

对于验证网站所有者身份的精准程度,不同证书颁发机构各不相同,但是扩展验证 (EV) 证书的身份验证级别肯定更高,这一点会通过将地址栏变成绿色而向访问者展现。(请参阅下文最受欢迎的浏览器验证示例)。

 

可信的方案选择

鉴于假冒网站利用容易到手的 SSL 证书冒充真实网站的现象越来越普遍,网站所有者不能轻易冒险使用域名验证证书。特别是在站点要求用户提供敏感或个人信息时,用户更可能希望获得更多的保障。

选择使用信誉良好的证书颁发机构(如赛门铁克)颁发的证书,并选择高级安全验证方式(如扩展验证),能提供更可信的选择。相比一般的选择,这当然对您的企业更好。

如需了解关于 SSL 的更多信息,从 SSL 的工作原理到在服务器上设置 SSL 的方法等各种信息,请立即下载互动资源“SSL 详解”。

3 大网站安全谜题揭晓

了解事实真相


鉴于网络安全领域存在诸多谎言和谬论,您应如何区分真假,从而选择正确的防护方案保护企业、网站和客户安全呢?

阅读 3 大谬论揭秘
赛门铁克专用证书颁发机构服务

赛门铁克专用证书颁发机构服务(专用 CA)

赛门铁克专用 CA 是一套经济实惠的安全解决方案,在遵守公司和行业合规标准的同时,能够提升安全性并显著改善企业专用内网证书管理。避免证书过期 — 利用 Symantec Managed PKI for SSL 控制台的可见性与警报信息,即时颁发、管理并追踪内网专用证书。

继续阅读

什么是 EV SSL?

什么是 EV SSL?

含扩展验证 (EV) 的赛门铁克 SSL/TLS 证书提供多种解决方案,让企业用户和个人用户信心满怀地开展在线交流和商务活动。

继续阅读

客户端证书与服务器证书的对比

客户端证书与服务器证书的对比 两者的区别在于何处?

  提及 PKI 或“客户端证书”,很多人脑海中浮现的是企业忙于保护和完成客户在线交易的景象,但实际情况是,此类证书广泛存在和应用于我们日常生活的各种场景中,例如登录 VPN 时、在 ATM 上使用银行卡时、进入办公大楼使用门禁卡时以及在伦敦市区使用 Oyster 公共交通智能卡时。

继续阅读

使用案例

赛门铁克网站安全解决方案的实际应用

加入社区

参与 Symantec Connect 上的安全主题讨论

SYMANTEC CONNECT

在 Twitter 上关注 Threat Intelligence:@Threatintel

SYMANTEC ON TWITTER

观看 YouTube 上的赛门铁克网站安全视频

SYMANTEC ON YOUTUBE

我们已经更新了我们的隐私政策,可以在这里找到。