HTTPS加密應用在過去兩年間取得了驚人成果,全球互聯(lián)網超50%的網站流量啟用HTTPS加密。然而,100%的加密環(huán)境,就等于安全嗎?借助免費DV SSL證書,越來越多的惡意軟件、釣魚網站轉向100%加密,得以逃避安全工具檢測、欺騙用戶信任;瀏覽器UI標識混淆多變,使用戶困惑。加密概念得到廣泛普及的“后HTTPS時代”,網站身份認證比加密更重要!如果你正在與欺詐網站通信,加密又有什么意義呢?
加密的惡意軟件站點和釣魚網站
瀏覽器廠商極力推動HTTPS加密成為新常態(tài);免費DV SSL證書以及證書頒發(fā)/安裝自動化等產品工具,使得HTTPS加密更易于實施;SEO排名優(yōu)先,鼓勵更多網站加入HTTPS行列,這些都是HTTPS加密取得的積極進展。
然而,HTTPS加密應用的攀升,使得惡意軟件得以隱藏在加密流量中,更難被發(fā)現(xiàn)和阻止,今年近一半的網絡攻擊,使用隱藏在加密流量中的惡意軟件逃避檢測;DV SSL證書正在成為欺詐者的“好搭檔”,仿冒域名、身份匿名、免費、掛鎖、沒有UI警告,DV SSL證書給網絡釣魚網站塑造了“看起來很真實”的假象,讓受害者更加難以辨別。
使用免費DV SSL證書的釣魚網站
DV SSL證書的缺陷
SSL證書設計之初被賦予兩個重要使命,一方面是實現(xiàn)數據加密傳輸,保護數據安全,另一方面是進行服務器身份認證,確保網站身份真實可信。由于網站身份認證成本較高,最初的SSL證書應用推廣進程緩慢。DV SSL證書簡化了身份認證流程,僅驗證域名即可頒發(fā)證書,大大降低了證書成本,受到市場廣泛歡迎。
但是,經過簡化的DV SSL證書僅起到數據傳輸加密的作用,完全失去了SSL證書原有的身份認證功能。存在功能缺陷的DV SSL證書,雖然推動了HTTPS加密的廣泛應用,但也成為了黑客利用的工具。普及DV SSL證書不僅無法實現(xiàn)互聯(lián)網安全可信,反而為網絡攻擊提供了隱藏之地,讓互聯(lián)網安全更加岌岌可危。
瀏覽器UI標識的混淆多變
大多數普通用戶(非極客或IT人士)看到HTTPS時,都給予強烈的信任,即使是僅為網站提供加密的DV SSL證書,也被認為與使用OV SSL證書或EV SSL證書的網站具有同等信任水平。為什么會出現(xiàn)這樣的誤解?
因為現(xiàn)在的瀏覽器用戶界面(UI)在證書展示方面存在很大問題:
瀏覽器對DV SSL證書和OV SSL證書展示的UI相同,用戶無法區(qū)別
在Chrome未來的版本中,EV SSL證書的UI可能降級為和OV/DV SSL證書一樣
各瀏覽器UI的安全標識不統(tǒng)一
個別瀏覽器經常更換UI,用戶無法跟上步伐
增加很多普通用戶無法理解的UI警告(小問題、主要問題)
大多數移動設備沒有任何加密符號
這些問題使得用戶對于瀏覽器UI安全標識的含義感到非常困惑。
各瀏覽器安全標識
基于市場對HTTPS和安全掛鎖的宣傳,用戶便認為所有帶掛鎖和HTTPS的網站都是安全的。然而,事實并非如此!當釣魚網站paypal.com.summary-spport.com僅通過域名驗證獲取到合法的DV SSL證書后,Chrome直接給出了“安全HTTPS”的標識。
PayPal釣魚網站,Chrome標記為“安全HTTPS”
谷歌去年6月的新版UI方案,雖然是逐步淘汰HTTP的良好開始,但繼續(xù)執(zhí)行強化“安全/不安全” 兩種狀態(tài)的UI、弱化身份認證信息甚至可能讓EV SSL證書UI消失的展示方案,那么未來真實的PayPal登錄頁面和釣魚頁面將看起來是一樣的(都顯示“安全”),看不出有任何區(qū)別!
真假PayPal網站的瀏覽器標識是一樣的
僅靠HTTPS已經不夠,網站身份比加密更重要
過去HTTPS被視為網站可信度的標志,獲取有效的HTTPS證書對于典型的釣魚網站來說太難,但現(xiàn)在HTTPS已經不再是識別釣魚網站的有用信號,因為惡意網站支持HTTPS已經是再尋常不過的事情。如果你不知道正在跟誰通信,加密就失去了意義!和錯誤的通信方通信,如果加密了危害更大。
網站身份信息才是反釣魚、反惡意網站的最佳防御機制,由于OV和EV SSL證書申請需要完成嚴格的身份驗證,用戶身份是可以追溯的。所以,幾乎沒有惡意網站或釣魚網站使用OV或EV SSL證書。2016年頒發(fā)的證書中,25%是包含網站身份信息的OV和EV SSL證書,這么多網站的真實身份信息被大多數瀏覽器隱藏起來了,沒有直觀展示,需要用戶多次點擊才能獲取。為什么不使用通過可信第三方驗證的身份數據來阻止網上誘騙和惡意軟件網站呢?
2016年各類證書占比
非常遺憾的是,目前的瀏覽器UI卻往相反的方向發(fā)展,對身份認證信息的弱化展示,強化“安全”與“不安全”的兩極化標識,不僅不利于用戶的判斷,而且使得真正有價值的身份認證信息被浪費,無法幫助用戶方便地識別欺詐網站。
公開支持網站身份原則(Endorse Website Identity)
網站身份比加密更重要,充分利用網站身份信息來抵御惡意站點和釣魚網站,需要全球CA的合作,更需要瀏覽器和網站所有者的支持。瀏覽器應該將包含網站身份信息的證書(OV和EV SSL證書)與匿名證書(DV SSL證書)區(qū)分開來,采用通用的瀏覽器UI安全標識顯示網站身份,并教育用戶認識安全標識的含義。對此,CA安全理事會(CASC)發(fā)起了一項“支持網站身份”的活動,倡導CA、瀏覽器和網站所有者公開支持網站身份五項原則:
1.TLS/SSL服務器證書中的身份應該被瀏覽器用作提升用戶安全的媒介
2.CA應該鼓勵用戶申請和部署更高身份認證級別的證書
3.OV SSL證書應該得到不同于DV SSL證書的瀏覽器UI,向用戶展示網站身份信息
4.EV SSL證書應該繼續(xù)獲得獨特的綠色地址欄的瀏覽器UI,區(qū)別于OV和DV,向用戶展示更高的安全性
5.瀏覽器應該商定通用UI安全標識,避免頻繁更改UI,并與其他方合作,教育用戶了解通用UI的安全標識的含義,提升用戶安全性。
全球各大CA(包括沃通CA)都已經公開支持網站身份原則。如果您對網站身份原則表示支持,歡迎登錄CASC網站簽署支持,共同鑄造更加安全的互聯(lián)網環(huán)境。
本文根據CAB Forum主席Kirk Hall在RSA 2017的演講稿翻譯整理
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!