您是否注意过,当你的浏览器地址栏的出现一个小挂锁或者整个地址栏都变成绿色,此时您是否相信你继续在网络上浏览是安全的呢?就SSL的安全性,近日安全专家提出了疑问。
安全专家称,这种特殊信号表示的SSL证书是网站证明其运行合法业务,并且能够安全地收发加密的数据的数字证书。这种SSL证书并不能像表面看起来的那样提供安全性。
英国安全公司Netcraft的研究人员Paul Mutton称,这些证书存在一些安全隐患,容易给用户造成安全错觉。
专家表示,攻击仍然是可能的,因为SSL证书仅表明第三方已经验证了这个网站拥有者的身份并且与这个网站建立了加密的通讯线路。
这个网站本身仍然可能拥有黑客能够利用的安全漏洞。这种证书甚至可能是假冒的:网络攻击者已经伪造这些证书以获得挂锁的图标并且把诈骗网站伪装起来。
针对这种情况,出售SSL证书的公司一年前开始提供一种增强版本的证书,对全球5000个网站的拥有者进行了额外的审查,其中包括面对面的访问。即便如簇,这些网站也可能包含恶意代码。Netcraft的研究人员上个星期表示,他们在四个声称拥有扩展认证SSL证书的网站上发现了安全漏洞。
Netcraft的研究人员Mutton称,犯罪分子可以利用这些安全漏洞创建应用程序以窃取口令和信用卡号码。这些恶意程序窃取的数据在SSL提供的加密之外获得的。因此,黑客能够完全看到这些数据。
安全专家称,Netcraft公司的报告突出地表明继续需要最新的杀毒软件保护,用户对于他们输入敏感数据的地方要非常小心。