然而，意想不到的事情發(fā)生了。當(dāng)用戶(hù)打開(kāi)網(wǎng)頁(yè)時(shí)，VISA網(wǎng)就立刻要求用戶(hù)輸入完整的信用卡卡號(hào)。但是，用戶(hù)卻發(fā)現(xiàn)，當(dāng)輸入完卡號(hào)后，再點(diǎn)擊任何Verified by VISA網(wǎng)站上的鏈接時(shí)，都會(huì)顯示“找不到該網(wǎng)頁(yè)”的出錯(cuò)信息。這時(shí)，一些用戶(hù)隱約感覺(jué)到，他們的用戶(hù)信息可能已經(jīng)被盜……！

由Visa.com生成的錯(cuò)誤網(wǎng)頁(yè)

2、癥結(jié)所在

按道理，當(dāng)網(wǎng)站擁有一個(gè)頒發(fā)自合法的、第三方CA認(rèn)證機(jī)構(gòu)的SSL證書(shū)，即可證明該網(wǎng)站的真實(shí)性。而且，目前所有合法的銀行網(wǎng)站都在應(yīng)用此技術(shù)。讓人疑惑的是，這個(gè)假冒網(wǎng)站又是如何獲得合法的SSL證書(shū)的呢？

頒發(fā)給Mountain-America.net的SSL證書(shū)

最終的調(diào)查報(bào)告揭示了真相——該假冒網(wǎng)站使用的SSL證書(shū)，是一種鑒證流程相對(duì)簡(jiǎn)單的SSL證書(shū)，用戶(hù)只需通過(guò)線上注冊(cè)和簡(jiǎn)單的電話(huà)溝通，即可獲得SSL證書(shū)。從而導(dǎo)致了該假冒網(wǎng)站在無(wú)需經(jīng)過(guò)嚴(yán)格的身份審查的情況下，就輕易的獲取了合法的SSL證書(shū)。此案件充分暴露了一些CA認(rèn)證機(jī)構(gòu)缺乏必要的鑒證流程和專(zhuān)業(yè)的鑒證服務(wù)。

3、解決之道

雖然業(yè)內(nèi)領(lǐng)先的VeriSign公司從不提供不經(jīng)身份驗(yàn)證的SSL證書(shū)產(chǎn)品，但大量廉價(jià)低端證書(shū)的存在，讓SSL證書(shū)市場(chǎng)面臨巨大挑戰(zhàn)。至此，EV SSL 擁有綠色地址欄的高端證書(shū)計(jì)劃得以浮出水面。經(jīng)過(guò)瀏覽器、操作系統(tǒng)、SSL證書(shū)技術(shù)廠商等多方努力，2007年EVSSL正式推向市場(chǎng)，其首要客戶(hù)便是PayPal、eBay、Travelocity、Schwab等網(wǎng)絡(luò)領(lǐng)域的知名公司。2008年，隨著***、最安全的網(wǎng)絡(luò)瀏覽器版本在全球范圍內(nèi)占據(jù)了主導(dǎo)市場(chǎng)地位，EV SSL的采用率也進(jìn)一步上升。

2008年上旬，VeriSign經(jīng)過(guò)慎重評(píng)估，決定在欺詐釣魚(yú)網(wǎng)站高發(fā)的東亞地區(qū)，正式推出EVSSL證書(shū)，其中國(guó)境內(nèi)的官方合作伙伴天威誠(chéng)信協(xié)助EVSSL在國(guó)內(nèi)的簽發(fā)。國(guó)內(nèi)一些金融機(jī)構(gòu)隨后積極跟進(jìn)，工商銀行，招商銀行、中信銀行等機(jī)構(gòu)率先完成了SSL證書(shū)升級(jí)，反欺詐釣魚(yú)網(wǎng)站的克星“綠色地址欄”正式在中國(guó)開(kāi)啟安全之門(mén)。