我读过很多关于钓鱼网站不会安装 SSL 证书的文章。据我所知,任何人都可以购买 SSL 证书并将其安装在他们的网站上,无论该网站是真实的还是欺诈的。在这种情况下,SSL 证书在识别钓鱼网站方面的作用是什么?
答案1
SSL 证书并非设计用来检测网络钓鱼。
SSL 证书实际上非常便宜,甚至免费。 让我们加密,提供完全免费、完全自动化的证书颁发。因此,诈骗者滥用该系统来创建钓鱼网站。
这篇非常古老的博客文章更详细地讲,但总结起来就是证书颁发机构(专门签署浏览器信任的证书的组织)不应该从事监控内容的业务。
Google 有一个“安全浏览 API”,Chrome 浏览器会据此检查网站是否为伪造网站。这种监控和检查最好留给浏览器,而不是 CA。
答案2
是的,任何网站都可以使用 SSL 进行保护。
颁发证书的机构仅验证您是否拥有该域名。因此,钓鱼网站可以获得证书并受到 SSL 的保护。SSL 提供加密,但不会验证或证明网站的内容。
如果该网站被举报为诈骗网站,CA 也可以使证书无效,在这种情况下,浏览器在连接到此类网站时将显示错误。
现代浏览器使用钓鱼数据库来警告用户是否访问了恶意网站。这是为了保护用户。
答案3
需要记住的是扩展验证证书。在验证组织拥有域名后,会向组织颁发 EV SSL 证书。这些证书旨在通过显示锁定图标和拥有域名的公司来防止网络钓鱼。其理念是,如果最终用户访问 bofa.com(例如),他们就会知道该网站归美国银行所有。然而,许多研究表明,这也不能防止网络钓鱼,因为大多数最终用户会将密码输入任何网站。