SSL证书也有打眼时

1、案例回放

成都创新互联公司于2013年创立，先为交城等服务建站，交城等地企业，进行企业商务咨询服务。为交城企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

据2006年2月13日发表于《华盛顿邮报》网站上的《The new face of phishing》一文中声称，美国犹他州著名的信用合作社“Mountain America”的网站被冒用，而假冒网站上居然也使用了颁发自第三方CA认证机构的SSL证书，导致大量用户受骗上当。幸运的是，在事发当日下午2点13分，该网站被美国相关监察部们SANS Internet Storm Center及时关闭，从而避免了更大的损失。这一案例充分证明了线下鉴证工作的必要性和重要性。
引用： http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.htm

这个轰动当地一时的案件大致经过是这样的——某个冒用了“Mountain America”信用合作社之名的假网站，通过Email的方式通知用户：“您的信用卡已被自动登入了Verified by VISA程序”（该程序是VISA提供的一个用来保障“只有本人才可以在网上使用自己的VISA卡”的、合法的安全程序）。

假冒的“Mountain America”网站

Email中包含了用户会员卡号的前5位数字，而这5位数字是每张Mountain America银行卡上都会有的。因此，大部分邮件接收者都没有怀疑这封邮件的真实性。部分用户在接收到这封Email后，就立即通过邮件中的链接，上到该假冒网站上进行注册，以尽早成为Verified by VISA会员。并且，这些用户发现，该网站采用了SSL证书，这更降低了他们的警惕性。毕竟，这个来自合法的、第三方CA认证机构的SSL证书可以证实该网站的真实性。

然而，意想不到的事情发生了。当用户打开网页时，VISA网就立刻要求用户输入完整的信用卡卡号。但是，用户却发现，当输入完卡号后，再点击任何Verified by VISA网站上的链接时，都会显示“找不到该网页”的出错信息。这时，一些用户隐约感觉到，他们的用户信息可能已经被盗……！

由Visa.com生成的错误网页

2、症结所在

按道理，当网站拥有一个颁发自合法的、第三方CA认证机构的SSL证书，即可证明该网站的真实性。而且，目前所有合法的银行网站都在应用此技术。让人疑惑的是，这个假冒网站又是如何获得合法的SSL证书的呢？

颁发给Mountain-America.net的SSL证书

最终的调查报告揭示了真相——该假冒网站使用的SSL证书，是一种鉴证流程相对简单的SSL证书，用户只需通过线上注册和简单的电话沟通，即可获得SSL证书。从而导致了该假冒网站在无需经过严格的身份审查的情况下，就轻易的获取了合法的SSL证书。此案件充分暴露了一些CA认证机构缺乏必要的鉴证流程和专业的鉴证服务。

3、解决之道

虽然业内领先的VeriSign公司从不提供不经身份验证的SSL证书产品，但大量廉价低端证书的存在，让SSL证书市场面临巨大挑战。至此，EV SSL 拥有绿色地址栏的高端证书计划得以浮出水面。经过浏览器、操作系统、SSL证书技术厂商等多方努力，2007年EVSSL正式推向市场，其首要客户便是PayPal、eBay、Travelocity、Schwab等网络领域的知名公司。2008年，随着***、最安全的网络浏览器版本在全球范围内占据了主导市场地位，EV SSL的采用率也进一步上升。

2008年上旬，VeriSign经过慎重评估，决定在欺诈钓鱼网站高发的东亚地区，正式推出EVSSL证书，其中国境内的官方合作伙伴天威诚信协助EVSSL在国内的签发。国内一些金融机构随后积极跟进，工商银行，招商银行、中信银行等机构率先完成了SSL证书升级，反欺诈钓鱼网站的克星“绿色地址栏”正式在中国开启安全之门。

分享文章：SSL证书也有打眼时
本文URL：http://www.gawzjz.com/qtweb/news41/196091.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联