行业新闻与博客

您可能已经知道，网络上不乏网络罪犯可以窃取您的金钱和 / 或身份。您可能自己已经有品味了-一年多以前，我不得不为以我的名义订购的智能手机支付 700 多美元的账单！您可能不知道，创建一个现实的，假的网站以从毫无戒心的受害者那里获取密码，信用卡号和其他敏感信息是多么容易。此类网站通常是网络钓鱼计划的一部分-如果您单击骗局电子邮件中的链接，该链接声称来自企业或学校等合法组织，则您将被带到伪造登录页面，骗子希望您登录将放弃多汁的细节。

这是令人恐惧的部分：现在，大约所有钓鱼网站的四分之三都有 SSL / TLS 证书！根据反网络钓鱼工作组的《 2019年第四季度网络钓鱼活动趋势报告》，网络钓鱼网站中有 74％使用 HTTPS。攻击者可以免费，轻松地在骗局网站上设置 DV 证书，并且您的网络浏览器会很乐意告诉您它是“安全的”。Google Chrome 浏览器甚至建议您输入密码或信用卡号是完全可以的：

当然，只要您不介意那可能只是您和另一端的一些低生活骗子之间的联系，您的联系就是“私人的”。免费 DV HTTPS 的滥用已变得如此严重，以至于 FBI 在 2019年6月10日发布了一项公共服务公告，其中指出：``不要仅仅因为网站的浏览器地址栏中带有锁定图标或'https'就信任它。'' 一个详细的研究 2019 HTTPS 的钓鱼网站，文森特·德鲁里和亚琛工业大学的乌尔里克·迈耶，呼应这样的结论：“简单的用户意见，以检查网站 HTTPS 保护是否不再反对网络钓鱼有效。”

尽管存在这些严重的问题，大多数的主流浏览器最近搬到远离从显示与在与扩展验证（EV）证书保护的网站浏览器地址栏的网站拥有者验证信息。大多数浏览器还取消了以前指示受 EV 保护的网站的“绿色栏” UI。结果，一些企业和其他组织已经放弃了 EV 证书，并使用便宜的（或免费的）域验证（DV）证书来保护其网站。

DV 网站证书通过确保对通信进行加密并确保运行站点的实体在申请证书时控制了域名的确为用户提供了一定程度的保护，但是它不能保证谁真正拥有和运营该网站。只有经过 CA 验证的 EV 或 OV（组织验证）证书才能提供此信息。

您可以通过以下方式查看这些流行的浏览器，以查看网站所有者是否已通过使用 EV 或 OV 证书做出了额外的努力来保护和通知网站访问者：

谷歌浏览器

火狐浏览器

微软边缘

IE 浏览器

苹果 Safari

总结一下下面显示的信息，Internet Explorer 当前在将 EV 信息传达给用户方面做得最好。Safari 仍在使用“绿条” UI 向用户传达 EV 状态，但仍然需要点击一下才能确定网站的所有者。Chrome，Firefox 和 Edge 在地址栏中没有显示任何 EV 指示器，并要求用户挖掘有关网站所有者的任何经过验证的信息。Chrome for macOS 特别糟糕，需要单击三下才能查看此信息（甚至确定其是否存在）。

本文由机器译制