“钓鱼”网站居然也有HTTPS

由于信息泄露、流量劫持、“钓鱼”网站等不安全现象在网络上泛滥，HTTPS这一网络传输加密协议得到越来越多的应用。我们也逐步在潜意识中达成这样一种认知，即只要有这种标识出现，就说明网页已经过HTTPS加密保护，可以安心访问，输入账户、密码这些敏感信息时也不用担心被泄露。但看过下面这两个例子后……

看，这短信内容就透着一股套路，而附带的HTTPS链接实为“钓鱼”链接。

下面这个链接看似很安全，但实际却是一个假冒谷歌Play商店的钓鱼网站。仔细观察，你会发现网址中包含两个“.com”，而谷歌Play商店的真实网址是——https://play.google.com/store

为什么“钓鱼”网站也能显示HTTPS?难道HTTPS也有假的?我们又该如何防范呢?

“钓鱼”网站是如何用上HTTPS的

如果一家网站想实现HTTPS，就必须安装SSL证书。SSL证书是由数字证书管理机构(简称CA)签发的，CA是一个受信任的第三方组织，负责发布和管理SSL证书。当网站申请SSL证书时，通常要向CA提供域名所有者的身份证明资料(如企业营业执照、组织机构代码证等)等，经过CA人工审核通过并支付一定费用后才可颁发，这些需要人工审核和费用的SSL证书被称为OV或EV证书。由于需要费用和人工审核，黑客基本不可能得到OV或EV证书，但免费SSL证书的出现让黑客获得了可乘之机。

因为申请免费证书时不再需要人工审核，仅通过系统自动匹配域名所有权，匹配成功后即可获得证书，所以黑客完全可以为自己拥有的域名申请到免费证书，再用这个域名搭建一个以HTTPS开头的“钓鱼”网站，一个虚假的HTTPS也就此诞生。此时的HTTPS仍可起到加密传输的作用，但信息传输的目的地却由真实网站的服务器变成了黑客的“钓鱼”服务器，加密的保护意义也随之丧失。

如何防范虚假HTTPS

网站安全公司Wordfence最近发布的一篇网站证书安全报告表明，有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书，当用户访问网站时，浏览器会将其标记为“安全”。那么，面对这种情况，我们又该如何识别、防范虚假HTTPS呢?

其实也很简单，就是网站一定要使用经过正规第三方CA身份验证的OV机构型或EV增强型证书。例如下图所示网站就安装了由中国金融认证中心(CFCA)颁发的OV证书，当你点击地址栏中的锁型图标时，如果显示网站身份经CFCA认证，即说明该网站证书、身份真实可靠，不用再担心碰到假的HTTPS啦。

而如果是EV证书，则无需任何操作，网站真实性如下图这样一目了然。

最后要特别强调的是，上述问题的产生与HTTPS加密协议无关，而是黑客利用免费证书钻了空子，此类情况也属于极个别现象，所以我们仍可对HTTPS充满信心，HTTPS网站的整体安全性依然远高于非HTTPS网站，推进HTTPS在全网普及的脚步也绝不能停歇。

如果您希望了解更多与HTTPS和SSL证书相关的信息，请拨打010-59798680或登录ssl.cfca.com.cn查询。