据媒体报道,安全公司Trend Micro发布消息称,一个恶意广告服务器通过植入银行木马,可自动感染访客Windows设备,让黑客在用户不知情的情况下远程访问系统。此恶意服务器安装了Let’s Encrypt的免费SSL证书(服务器证书),以使其链接可以显示代表安全的HTTPS标识和网站服务器认证信息,骗取用户信任。Trend Micro的报告指出,Let’s Encrypt的服务存在潜在安全问题,并呼吁该组织在发现免费SSL证书被滥用之后就收回。
专家认为,近期Let’s Encrypt免费证书遭黑客利用事件很可能只是一个开始。随着SSL证书的普及和用户越来越信任已安装SSL证书的网站,黑客也会利用这种信任,通过获得免费证书为自己披上看似可信的外衣。在目前免费证书身份验证机制还不完善的情况下,出于对用户、网站自身安全的考量,企业应慎用免费SSL证书,优先考虑有着完整身份验证机制的OV证书(机构型证书)和EV证书(增强型证书)。VeriSign是SSL证书领域高端品牌,在全球拥有最高的市场占有率。据不完全统计,全球500强中超过93%的公司选用VeriSign品牌证书以提升网站可信度。由于VeriSign SSL证书的根证书已经预埋到IE、NetScape、Firefox、Opera等一些标准的浏览器中,所以登陆网站时,网民可以轻松进入加密通道。此外,VeriSign提供其专有的站点签章标志(假冒网站无法从技术上克隆)。该标志作为互联网上最为守信的安全站点标志,以最为直观的方式展示在网站 上。VeriSign签章标志全球每天的消费者浏览量超过2.5亿次。VeriSign OV证书不仅验证域名信息,而且要认证服务器、网站对应的机构实体是否存在及合法。而EV证书的认证标准比OV证书更严格,是安全级别最高的SSL证书(注: 当机构通过认证,部署EV SSL证书后,网址栏中可以展示机构的认证信息)。
采用SSL技术有效保护用户在线信息安全,并借助安全标识与验证信息主动为用户提供鉴别假冒网站的依据。该人性化特点,不仅加强了网站安全,也使日常支付平台的用户体验大大提升。钓鱼欺诈泛滥的今天,赛门铁克在数字认证领域优秀的品牌知名度,加快了企业网站可信形象建设,让网站用户的在线支付信心得以巩固。
