有人可以购买SSL证书吗?如果是的话，它在识别网络钓鱼方面有什么意义？

Question

据我所知，网络钓鱼网站不会有installed.As证书，任何人都可以购买SSL证书并将其安装在自己的网站上，无论该网站是真实的还是欺诈的。在这种情况下，SSL证书在识别钓鱼中的作用是什么？

Answer 1

SSL证书不是设计用来检测钓鱼的一种方法。

SSL证书实际上非常便宜，甚至是免费的。让我们加密，提供完全免费的、完全自动化的证书颁发。由于这个原因，骗子滥用这个系统来创建网络钓鱼网站。

这篇很古老的博客文章将详细介绍，但是总结是，证书颁发机构(专门为您的浏览器信任的证书签名的组织)不应该从事监视内容的工作。

谷歌有一个“安全浏览API”，Chrome浏览器会对其进行检查，以确定该网站是否是伪造的。与CA相比，这种类型的监视和检查更好地留给浏览器。

Answer 2

是的，任何网站都可以使用SSL进行安全保护。

只有当您拥有该域时，颁发证书颁发机构才会生效。因此，网络钓鱼网站可以获得证书并通过SSL进行安全保护。SSL提供加密，它不验证或验证网站的内容。

如果站点被报告为欺骗，CA还可以使证书失效，在这种情况下，浏览器在连接到此类网站时将显示错误。

现代浏览器使用钓鱼数据库警告用户，如果他们正在访问糟糕的网站。这用于保护用户。

Answer 3

要记住的是扩展验证证书。在验证组织拥有该域之后，将向组织颁发EV SSL证书。这些证书不仅显示锁图标，而且还显示拥有域名的公司，从而防止网络钓鱼。这个想法是，如果最终用户访问bofa.com (例如)，他们就会知道该网站是由美国银行拥有的。然而，许多研究表明，这也不能阻止网络钓鱼，因为大多数终端用户都会在任何网站上输入密码。

这里有更多的信息