要想实现网站安全,首先要确认网站所有者的身份,来防止网络钓鱼攻击。如果不进行这一步,那么网站用户则会处于劣势,身份欺诈者会将域名验证钓鱼网站伪装成高价值的网站,从而窃取用户密码和信用卡密码。
London Protocol(伦敦网络协议)的目的是为了提高网站身份的安全性,并使网络钓鱼行为发生的可能性降到最低。这一协议取决于多个来源提供的数据,这表明匿名域验证SSL/TLS证书是近期钓鱼攻击事件多发的主要原因,我们也会共同致力于保护互联网安全,从而保护使用这些互联网协议的企业和用户。
London Protocol的主要关注点在于提高网站身份的安全性,以及使通过OV和EV证书加密的网站发生网络钓鱼攻击的可能性降到最低。这一证书包含经过验证的企业身份信息,从而能够告知用户这些网站是否安全。最终将其命名为London Protocol的原因是笔者的团队在上个月于伦敦召开的CASC/B论坛会议上正式宣布通过了这项协议。
我们采取这一措施的原因是一份来自HashedOut的报告,报告中写道:在2016年1月1日至2017年5月6日期间,一家名为Let's Encrypt的证书颁发机构总共颁布了15270个SSL证书,这些证书中都包含关键词“PayPal”。Let's Encrypt颁发的这些证书被一些不法分子利用,他们会在网站域名中使用“PayPal”关键词,来诱导网络用户将个人数据发送给他们,换句话说,这些不法分子会使用这些证书来进行身份信息盗窃。Let's Encrypt颁发的这些证书仅仅是域验证证书(domain-validated certificates),这意味着这些证书会发送给一些匿名的网站,因为这一颁发过程是完全自动化的。
身份证书简史
在2001年,只有OV身份证书可用于保护网站安全。对于大多数的CA数字证书来说,想要获取OV证书需要一系列的复杂过程,而且需要一段时间才能完成。当时,企业需要不同的证书类型,来快速地为不太敏感的网站获得加密通信的证书,这也是为什么笔者当时会成为DV(域验证)证书的一名研发人员。其目的是创建一个可以快速验证的数字证书,其中网站所有权证明(如博客和信息页面)对于用户的安全性来说并不重要。笔者认为将DV证书的验证步骤限制为域拥有权证明(proof of domain ownership)就足够了,因为它能够阻止网络诈骗犯从不属于他们的域中获取证书。
不幸的是,DV证书现在被用于不法用途,导致一些使用DV证书加密的虚假网站受到了大量的网络钓鱼攻击。对网站加密能够确保向网站拥有人传输敏感数据的过程是安全的。但是,由于缺乏经过确认的企业组织身份信息,意味着这些数据也能够被安全地传输到企图盗窃用户信息的不法分子手中。
为了让网站更加安全,笔者随后又加入了EV(扩展验证)证书的联合研发团队。在按照CA数字证书的标准化指南对这一证书进行完整、严格的审查措施之后,才颁发了EV证书。由CA/B论坛开发出来的EV证书会显示在浏览器的地址栏,来确认网站的身份,告知用户网站的拥有人,并且也会追踪任何潜在的恶意行为。
笔者的团队同世界上最大的DV证书颁发机构ComodoCA一同验证了他们的假设,即用户在使用OV和EV加密的网站时更加安全。笔者的研究论文“The Relative Incidence of Phishing among DV, OV and EV Encrypted Websites”(《DV、OV和EV加密网站钓鱼攻击的相对发生率》)表明,99.5%包含钓鱼内容的加密网站使用了DV证书,但是在OV和EV加密的网站中,却没有发生这一情况。这一数据也证实了我们的假设:对于用户来说,OV和EV证书要比DV证书更加安全。
虽然现在的OV和EV加密的网站都很安全,但是我们想让这一网站更加安全,因此也就颁布了London Protocol。在此协议之下,CA安全理事会中的5个CA数字证书颁发机构正开展合作,来提高网站身份安全性,使网站发生钓鱼攻击的可能性降到最低。CA安全理事会中的每家机构都会和他们的OV和EV客户合作,来帮助他们移除网站上的钓鱼内容,让网站更加安全。这一努力也会帮助应对各个主要品牌中增长的DV网络钓鱼攻击事件,并且在用户使用OV和EV证书加密的网站时,会有更高的安全感。
原文作者:Chris Bailey
