2019-05-14
所有的凭证核发企业组织(CA)都有一套严谨的核发流程,即便仍有极少数的个案显示,恶意的钓鱼网站能够成功申请到SSL凭证。
根据进几年报导指出,最容易申请的SSL凭证为DV(Domain Vertification)凭证,恶意的钓鱼网站会利用DV SSL容易申请,认证较为简易的优势,申请钓鱼网站的SSL诈骗消费者。
这并不代表通过申请SSL的网站可以为非作歹,因为SSL凭证核发的机构,有许多审查的API工具,也会连同Google验证网站的各项申请资讯,也会验证网站是否有可疑的活动,如果网站活动有异状,该网站很快的就会被示警,封锁,阻止恶意的组织窃取更多资料。
客观来说,SSL购买时网站已经进行了审核,胡乱核发凭证给信誉不佳的网站,可能会使凭证核发机构(CA)不被信任,对强调资安的凭证核发单位/公司来说影响甚大。相较无须认证随时皆可购买的域名,已经安全许多,也增加了恶意钓鱼网站架设的困难度。
