綠色地址欄
綠色地址欄
在客戶端訪問這些列入百名但的網站時,綠色地址欄被激活。網站主辦者通過向第三方數字證書認證機構申請,獲得支持綠色地址欄的伺服器證書產品。使用伺服器證書的第三方認證來激活綠色地址欄,是目前國際通行的方法。
目錄
綠色地址欄是瀏覽器廠商用於提示客戶端當前所訪問的網站是否經過認證的一種手段
目前,瀏覽器廠商對綠色地址欄的認證主要包含兩種方式:
1.使用瀏覽器廠商自定義的受信站點白名單
例如遨遊瀏覽器、360瀏覽器等,會將國內外知名網站及信譽較好或有業務合作的公司網站添加到白名單中。在客戶端訪問這些列入百名但的網站時,綠色地址欄被激活。
2.使用第三方認證機構頒發的伺服器證書
國際主流瀏覽器廠商多採用這種方式。網站主辦者通過向第三方數字證書認證機構申請,獲得支持綠色地址欄的伺服器證書產品。將支持綠色地址欄的證書配置到伺服器上以後,只有當客戶端使用https的安全方式訪問到站點時,綠色地址欄才能夠被激活。同時,網站與客戶端之間的數據將被加密後進行傳輸。
對兩種方式實現的綠色地址欄功能進行對比:
使用瀏覽器廠商自定義的白名單激活的綠色地址欄只能對知名站點開放服務,且多隻針對站點頁面包含交易或支付類的站點。而一些資訊類的知名站點並不在其中。中小企業IT人員往往不能通過合理的途徑獲得綠色地址欄的認證功能。
由於白名單隻是通過地址欄輸入的域名與白名單的比對來實現綠色地址欄,在客戶端受DNS攻擊時,訪問釣魚網站也會顯示綠色地址欄。這種白名單機制在一定程度上仍然存在缺陷。
使用伺服器證書的第三方認證來激活綠色地址欄,是目前國際通行的方法。通過第三方認證機構,對伺服器證書申請單位進行驗證,確保拿到該伺服器證書的就是網站主辦者的承責單位。如果承責單位在激活了綠色地址欄的網站頁面上實施違法犯罪活動,將客戶通過頒發伺服器證書時獲取的第三方認證信息追查到伺服器證書的真實持有者。通過法律訴訟環節,可以追究到網站主辦承責單位的刑事責任。
綠色地址欄實際上是EV SSL證書的展示形式,用以抗擊欺詐釣魚網站。Extended Validation SSL Certificate(簡稱為:EV SSL 證書)。EV SSL 證書的產生是為了對付日益猖獗的網上欺詐犯罪,意在恢復並增強人們對網上在線交易的信心。該證書作為SSL證書家族一員,其頒發過程嚴格遵循全球統一的嚴格身份驗證標準。如果您的網站部署了EV SSL證書,用戶訪問時瀏覽器的地址欄會變成綠色, 並在地址欄後面顯示一個安全鎖標誌和輪流顯示此網站的單位名稱和此證書的頒發機構,明確指出此網站的身份已經此證書頒發機構嚴格驗證,網站安全可靠。據部署過EVSSL的網站統計,其交易量提高可達27%。VeriSign是目前國際上最為領先的EVSSL技術提供者,目前成功在全球部署超過10,000張,其擁有獨特的反釣魚欺詐技術的EV證書擁有極高的客戶知曉度。目前VeriSign EVSSL證書已陸續在國內一些知名網站配發,其國內官方合作夥伴天威誠信數字認證中心(iTrusChina)以成功為招商銀行、工商銀行、中信銀行等網站完成了反釣魚網站技術升級,相信不久國內欺詐釣魚網站事件很大程度上得到緩解。最典型的網路釣魚攻擊過程如下:首先將用戶引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上,然後獲取用戶在該釣魚網站上輸入的個人敏感信息,例如銀行帳號、銀行密碼等。通常這個攻擊過程不會讓受害者警覺。這些個人信息對釣魚網站持有者具有非常大的吸引力,通過使用竊取到的個人信息,他們可以假冒受害者進行欺詐性金融交易,獲得極大的經濟利益,而受害者們卻因此而遭受到巨大的經濟損失,非但如此,被竊取的個人信息還可能被用於其他非法活動。