據媒體報道,安全公司Trend Micro發布消息稱,一個惡意廣告服務器通過植入銀行木馬,可自動感染訪客Windows設備,讓黑客在用戶不知情的情況下遠程訪問系統。此惡意服務器安裝了Let’s Encrypt的免費SSL證書(服務器證書),以使其鏈接可以顯示代表安全的HTTPS標識和網站服務器認證信息,騙取用戶信任。Trend Micro的報告指出,Let’s Encrypt的服務存在潛在安全問題,并呼吁該組織在發現免費SSL證書被濫用之后就收回。
專家認為,近期Let’s Encrypt免費證書遭黑客利用事件很可能只是一個開始。隨著SSL證書的普及和用戶越來越信任已安裝SSL證書的網站,黑客也會利用這種信任,通過獲得免費證書為自己披上看似可信的外衣。在目前免費證書身份驗證機制還不完善的情況下,出于對用戶、網站自身安全的考量,企業應慎用免費SSL證書,優先考慮有著完整身份驗證機制的OV證書(機構型證書)和EV證書(增強型證書)。VeriSign是SSL證書領域高端品牌,在全球擁有最高的市場占有率。據不完全統計,全球500強中超過93%的公司選用VeriSign品牌證書以提升網站可信度。由于VeriSign SSL證書的根證書已經預埋到IE、NetScape、Firefox、Opera等一些標準的瀏覽器中,所以登陸網站時,網民可以輕松進入加密通道。此外,VeriSign提供其專有的站點簽章標志(假冒網站無法從技術上克隆)。該標志作為互聯網上最為守信的安全站點標志,以最為直觀的方式展示在網站 上。VeriSign簽章標志全球每天的消費者瀏覽量超過2.5億次。VeriSign OV證書不僅驗證域名信息,而且要認證服務器、網站對應的機構實體是否存在及合法。而EV證書的認證標準比OV證書更嚴格,是安全級別最高的SSL證書(注: 當機構通過認證,部署EV SSL證書后,網址欄中可以展示機構的認證信息)。
采用SSL技術有效保護用戶在線信息安全,并借助安全標識與驗證信息主動為用戶提供鑒別假冒網站的依據。該人性化特點,不僅加強了網站安全,也使日常支付平臺的用戶體驗大大提升。釣魚欺詐泛濫的今天,賽門鐵克在數字認證領域優秀的品牌知名度,加快了企業網站可信形象建設,讓網站用戶的在線支付信心得以鞏固。
