查看原文
其他

证书颁发机构之痛:虚假银行站点获得真实安全证书

代码卫士 2022-04-06

英国的HalifaxNatWest银行只是被虚假站点盯上且为其从证书颁发机构获得SSL证书的两家机构。


Netcraft表示证书颁发机构包括赛门铁克、ComodoCloudFlare的认证合作伙伴GlobalSignGoDaddy本应表现更好,却向诸如natwestnwolb.co.uk等骗取流量的虚假网站颁发了证书。这些站点还包括halifaxonline-uk.comitunes-security.netemergencypapal.net、以及btintranert.com等。


虽然上述的一些站点很可笑,但Netcraft表示,“消费者们得到的训练是在向网站提交敏感信息之前‘查找挂锁(padlock)’”。当站点拥有合法证书时,挂锁就会出现,因此证书颁发机构让虚假的钓鱼站点看起来更有几分真实性,不管站点的URL多么可笑。而这种增添的真实性会诱骗用户交出互联网凭证和其它个人信息。


来自NetcraftGraham Edgecombe表示,证书颁发机构的行为准则要求在向高风险站点如那些与在线银行相关的站点颁发证书前尤其要特别谨慎。虽然Edgecombe并未指责证书颁发机构对这些检查的忽视,但指出免费且缺少失效日期的试用证书是钓鱼者们的最爱。


证书颁发机构在检查免费证书时是不是不太严格?Edgecombe在博客中并未如此表示。不过博客中遗漏的问题是,获取试用域名、或者以极低的成本注册域名也是有可能的。证书颁发机构可能会因向虚假站点颁发证书而带来不良后果,不过它们并非唯一肇事者。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存