仅看HTTPS还不够，在线支付还需注意网站真实身份！

为了应对日益猖獗的流量劫持、数据泄漏、钓鱼欺诈等安全问题，越来越多网站启用SSL证书，保护网站的数据传输安全，向用户证明网站的真实身份。HTTPS加密和SSL认证是SSL证书的两个主要功能，网民可以通过SSL证书的展示信息，判断一个网站的安全性、真实性和合法性。

HTTPS加密已经成为网民比较熟悉的、判断网站安全性的有效依据之一。然而，当进行在线支付、网银交易等涉及资金安全的敏感操作时，仅看HTTPS还不够，我们还需通过网站身份认证信息，判断网站真实性和合法性！

警惕HTTP，认准HTTPS！

目前，网上银行、第三方支付等涉及资金安全的重要网站，都会启用SSL证书。因此，用户在访问这类网站时，如果遇到前缀为HTTP明文协议的网址，一定要警惕！这极有可能是假冒的钓鱼网站。

假冒农行的钓鱼网站

仅看HTTPS还不够，在线支付还要注意网站身份认证！

HTTPS加密非常重要，但是仅看HTTPS还不够，在线支付、网银交易等涉及资金安全的敏感操作，还要注意SSL证书中展示的网站身份认证信息。

按照国际标准，SSL证书分为DV SSL证书、IV SSL证书、OV SSL证书和EV SSL证书4个等级的产品，所有SSL证书产品都能实现HTTPS加密，但只有IV SSL证书、OV SSL证书、EV SSL证书支持网站身份认证功能，基础级DV SSL证书仅验证域名所有权，不验证网站所属主体身份信息。因此，您在浏览器上看到的HTTPS网站，是仅做了加密传输，还是经过了严格的真实身份验证？这就需要通过查看SSL证书的认证信息来判断。

通过SSL证书查看网站认证信息的方式很简单：以HTTPS协议访问网站，点击浏览器上的【安全锁】标识，在弹出框点击【查看证书】，在证书信息弹出框，点击【详细信息】栏中的【使用者】，就能查看到证书绑定的网站域名（CN字段）以及网站的所属单位（O字段）。

查看证书

查看使用者

如果网站采用的是最高验证级别的EV SSL证书，则无需繁琐步骤，直接通过浏览器醒目绿色地址栏和状态栏显示的公司名称，就可以轻松判断网站真实身份了。

EV SSL证书绿色地址栏

自签名SSL证书不可信

SSL证书应由权威CA机构（如沃通CA）颁发，这是通过SSL证书判断网站安全性、真实性和合法性的前提。权威CA机构的根证书预置在浏览器中，颁发的SSL证书受所有浏览器信任，浏览器内置安全机制可自动验证SSL证书状态及合法性。

而自签名的SSL证书，可以使用工具随意签发，没有第三方监督审核，不受浏览器和操作系统信任，常被用于伪造证书进行中间人攻击，劫持SSL加密流量。用户访问使用自签名SSL证书的网站，虽然也采用了HTTPS前缀，但浏览器不信任其证书，会弹出警告提示提醒用户，看到这类提示时，用户应关闭窗口停止访问。

自签名SSL证书不受浏览器信任

沃通SSL证书

沃通CA是权威可信的数字证书颁发机构，获得WebTrust国际认证及工信部许可，符合中国标准和国际标准，是国际CA浏览器产业联盟成员单位。沃通SSL证书支持所有浏览器和移动终端，已经为360安全支付、桂林银行、济宁银行、中国平安等网上银行及第三方支付平台提供SSL证书产品和服务。

沃通SSL证书客户案例

沃通CA原创文章，转载请注明出处