文章发表于:2020年01月08日 15:44:07

天威诚信 网站身份认证很重要并教育用户认识安全标识的含义

    过去HTTPS被视为网站可信度的标志,获取有效的HTTPS证书对于典型的钓鱼网站来说太难,但现在HTTPS已经不再是识别钓鱼网站的有用信号,因为恶意网站支持HTTPS已经是再寻常不过的事情。如果你不知道正在跟谁通信,加密就失去了意义!和错误的通信方通信,如果加密了危害更大。北京数字证书认证中心

    网站身份信息才是反钓鱼、反恶意网站的最佳防御机制,由于OV和EV SSL证书申请需要完成严格的身份验证,用户身份是可以追溯的。所以,几乎没有恶意网站或钓鱼网站使用OV或EV SSL证书。2016年颁发的证书中,25%是包含网站身份信息的OV和EV SSL证书,这么多网站的真实身份信息被大多数浏览器隐藏起来了,没有直观展示,需要用户多次点击才能获取。为什么不使用通过可信第三方验证的身份数据来阻止网上诱骗和恶意软件网站呢?

    遗憾的是,目前的浏览器UI却往相反的方向发展,对身份认证信息的弱化展示,强化“安全”与“不安全”的两极化标识,不仅不利于用户的判断,而且使得真正有价值的身份认证信息被浪费,无法帮助用户方便地识别欺诈网站。

    应充分利用网站身份信息来抵御恶意站点和钓鱼网站,需要全球CA的合作(如天威诚信),更需要浏览器和网站所有者的支持。浏览器应该将包含网站身份信息的证书(OV和EV SSL证书)与匿名证书(DV SSL证书)区分开来,采用通用的浏览器UI安全标识显示网站身份,并教育用户认识安全标识的含义。