V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Osk
V2EX  ›  问与答

2021 年,连钓鱼网站都能上 https 了,是不是该把 EV 证书的网站绿回来?

  •  
  •   Osk · 2021-03-16 18:53:35 +08:00 via Android · 1419 次点击
    这是一个创建于 1383 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题。

    把 EV 证书变灰简直是吃饱了撑的。



    顺便一提另一个不爽的设定:
    http 页面能提供自动完成和记住密码功能,给整上个自签证书变 https 后,不能记住密码了。。。
    真的是不知道该说啥,虽然能理解可能存在风险,但这风险能比 http 更大?
    5 条回复    2021-03-17 16:36:46 +08:00
    learningman
        1
    learningman  
       2021-03-16 21:17:10 +08:00
    http 页面是可能被攻击
    https 自签证书基本就等于认为已经被 MITM 了,正确的使用方法是你自己签发证书后装自己的 CA
    jim9606
        2
    jim9606  
       2021-03-16 22:32:28 +08:00
    按 Google 的说法是 EV 的绿标对反钓鱼意义不大。

    正面理解就是群众未必知道 EV 绿标显示的公司和品牌的关系,例如 Steam 和 Valve 的关系。

    负面理解 Google 是为了商业利益推它的 SafeBrowsing 服务,到国内就是网站安全标识,可以收保护费的那种。

    要真按 HTTPS 定安全性,一大票 gov 网站都是不安全的。

    真要明白这些东西的区别的,也不需要依赖那个绿标。

    另外目前浏览器认为 HTTPS 出现错误时的危险性是高于不加密的 HTTP 的,所以有些不加密能用的功能反而 HTTPS 出错后不能用。
    wanguorui123
        3
    wanguorui123  
       2021-03-17 11:34:08 +08:00   ❤️ 1
    HTTPS 只能防止中间人攻击,其他的防不了
    v2tudnew
        4
    v2tudnew  
       2021-03-17 11:50:24 +08:00 via iPhone
    @jim9606 #2 作为用户,我觉得不需要理解这些,只要域名没错(书签),就能保证安全的话就够了,就是不知道各种 CA 会不会乱签证书。
    还开着 80 端口的,说明也没拿用户隐私当回事,那也没辙。
    jim9606
        5
    jim9606  
       2021-03-17 16:36:46 +08:00
    @v2tudnew 需要依赖绿标的用户不会认域名。
    由于 Certificate Transparently 日志政策,CA 乱签证书这事还是有防范方法的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2085 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:08 · PVG 09:08 · LAX 17:08 · JFK 20:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.