专家警告:SSL证书不能保证网络安全

日期: 2008-03-06 作者:Jordan Robertson 来源:TechTarget中国

  您是否注意过,当你的浏览器地址栏的出现一个小挂锁或者整个地址栏都变成绿色,此时您是否相信你继续在网络上浏览是安全的呢?就SSL的安全性,近日安全专家提出了疑问。


  安全专家称,这种特殊信号表示的SSL证书是网站证明其运行合法业务,并且能够安全地收发加密的数据的数字证书。这种SSL证书并不能像表面看起来的那样提供安全性。


  英国安全公司Netcraft的研究人员Paul Mutton称,这些证书存在一些安全隐患,容易给用户造成安全错觉。


  专家表示,攻击仍然是可能的,因为SSL证书仅表明第三方已经验证了这个网站拥有者的身份并且与这个网站建立了加密的通讯线路。


  这个网站本身仍然可能拥有黑客能够利用的安全漏洞。这种证书甚至可能是假冒的:网络攻击者已经伪造这些证书以获得挂锁的图标并且把诈骗网站伪装起来。


  针对这种情况,出售SSL证书的公司一年前开始提供一种增强版本的证书,对全球5000个网站的拥有者进行了额外的审查,其中包括面对面的访问。即便如簇,这些网站也可能包含恶意代码。Netcraft的研究人员上个星期表示,他们在四个声称拥有扩展认证SSL证书的网站上发现了安全漏洞。


  Netcraft的研究人员Mutton称,犯罪分子可以利用这些安全漏洞创建应用程序以窃取口令和信用卡号码。这些恶意程序窃取的数据在SSL提供的加密之外获得的。因此,黑客能够完全看到这些数据。


  安全专家称,Netcraft公司的报告突出地表明继续需要最新的杀毒软件保护,用户对于他们输入敏感数据的地方要非常小心。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 生死狙击:阻止恶意SSL通信六要点

    SSL的使用每年都在稳定增长。将来会有越来越多的互联网通信都会被加密。不幸的是,不仅注重安全的公司和用户在利用加密,黑客们也在使用加密来隐藏其恶意企图。虽然有很多防火墙和威胁预防方案能够解密SSL通信,却不能跟上不断演变的解密需求……

  • 七步解决关键SSL安全问题及漏洞

    近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。那么如何解决关键SSL安全问题及漏洞呢?总共分七步……

  • 感谢Let’s Encrypt吧,WordPress现向托管网站免费提供SSL

    WordPress现在为其托管网站提供免费SSL证书,这可为广大客户提供更好的安全性。WordPress此前仅支持对子域的加密,但现在WordPress宣布,所有通过WordPress.com托管的自定义域都可自动获得免费HTTPS。

  • 不合格域名会导致中间人攻击吗?

    ICANN发布安全公告强调,SSL证书对于不合格扩展的内部域名的重要性。什么是一个不合格扩展的域名呢?为什么ICANN认为SSL证书可以防御这个风险呢?