好看的历史书籍推荐,遮天辰东小说笔趣阁,有声小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

SSL證書也有打眼時

1、案例回放

成都創(chuàng)新互聯(lián)公司于2013年創(chuàng)立，先為交城等服務建站，交城等地企業(yè)，進行企業(yè)商務咨詢服務。為交城企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

據(jù)2006年2月13日發(fā)表于《華盛頓郵報》網(wǎng)站上的《The new face of phishing》一文中聲稱，美國猶他州著名的信用合作社“Mountain America”的網(wǎng)站被冒用，而假冒網(wǎng)站上居然也使用了頒發(fā)自第三方CA認證機構的SSL證書，導致大量用戶受騙上當。幸運的是，在事發(fā)當日下午2點13分，該網(wǎng)站被美國相關監(jiān)察部們SANS Internet Storm Center及時關閉，從而避免了更大的損失。這一案例充分證明了線下鑒證工作的必要性和重要性。
引用： http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.htm

這個轟動當?shù)匾粫r的案件大致經(jīng)過是這樣的——某個冒用了“Mountain America”信用合作社之名的假網(wǎng)站，通過Email的方式通知用戶：“您的信用卡已被自動登入了Verified by VISA程序”（該程序是VISA提供的一個用來保障“只有本人才可以在網(wǎng)上使用自己的VISA卡”的、合法的安全程序）。

假冒的“Mountain America”網(wǎng)站

Email中包含了用戶會員卡號的前5位數(shù)字，而這5位數(shù)字是每張Mountain America銀行卡上都會有的。因此，大部分郵件接收者都沒有懷疑這封郵件的真實性。部分用戶在接收到這封Email后，就立即通過郵件中的鏈接，上到該假冒網(wǎng)站上進行注冊，以盡早成為Verified by VISA會員。并且，這些用戶發(fā)現(xiàn)，該網(wǎng)站采用了SSL證書，這更降低了他們的警惕性。畢竟，這個來自合法的、第三方CA認證機構的SSL證書可以證實該網(wǎng)站的真實性。

然而，意想不到的事情發(fā)生了。當用戶打開網(wǎng)頁時，VISA網(wǎng)就立刻要求用戶輸入完整的信用卡卡號。但是，用戶卻發(fā)現(xiàn)，當輸入完卡號后，再點擊任何Verified by VISA網(wǎng)站上的鏈接時，都會顯示“找不到該網(wǎng)頁”的出錯信息。這時，一些用戶隱約感覺到，他們的用戶信息可能已經(jīng)被盜……！

由Visa.com生成的錯誤網(wǎng)頁

2、癥結所在

按道理，當網(wǎng)站擁有一個頒發(fā)自合法的、第三方CA認證機構的SSL證書，即可證明該網(wǎng)站的真實性。而且，目前所有合法的銀行網(wǎng)站都在應用此技術。讓人疑惑的是，這個假冒網(wǎng)站又是如何獲得合法的SSL證書的呢？

頒發(fā)給Mountain-America.net的SSL證書

最終的調(diào)查報告揭示了真相——該假冒網(wǎng)站使用的SSL證書，是一種鑒證流程相對簡單的SSL證書，用戶只需通過線上注冊和簡單的電話溝通，即可獲得SSL證書。從而導致了該假冒網(wǎng)站在無需經(jīng)過嚴格的身份審查的情況下，就輕易的獲取了合法的SSL證書。此案件充分暴露了一些CA認證機構缺乏必要的鑒證流程和專業(yè)的鑒證服務。

3、解決之道

雖然業(yè)內(nèi)領先的VeriSign公司從不提供不經(jīng)身份驗證的SSL證書產(chǎn)品，但大量廉價低端證書的存在，讓SSL證書市場面臨巨大挑戰(zhàn)。至此，EV SSL 擁有綠色地址欄的高端證書計劃得以浮出水面。經(jīng)過瀏覽器、操作系統(tǒng)、SSL證書技術廠商等多方努力，2007年EVSSL正式推向市場，其首要客戶便是PayPal、eBay、Travelocity、Schwab等網(wǎng)絡領域的知名公司。2008年，隨著***、最安全的網(wǎng)絡瀏覽器版本在全球范圍內(nèi)占據(jù)了主導市場地位，EV SSL的采用率也進一步上升。

2008年上旬，VeriSign經(jīng)過慎重評估，決定在欺詐釣魚網(wǎng)站高發(fā)的東亞地區(qū)，正式推出EVSSL證書，其中國境內(nèi)的官方合作伙伴天威誠信協(xié)助EVSSL在國內(nèi)的簽發(fā)。國內(nèi)一些金融機構隨后積極跟進，工商銀行，招商銀行、中信銀行等機構率先完成了SSL證書升級，反欺詐釣魚網(wǎng)站的克星“綠色地址欄”正式在中國開啟安全之門。

網(wǎng)頁題目：SSL證書也有打眼時
本文鏈接：http://www.fisionsoft.com.cn/article/dpoedjp.html

新聞中心

其他資訊