專家:信任證書保障用戶加密資料
[2015.04.05] 發表
香港網絡安全專家楊和生解釋,每一個可能需用戶輸入加密資料的網站,例如銀行網站,都需要購買有可信任機構發出的信任證書作為憑證,以證實該網站的真實性。假設用戶在瀏覽某銀行網站時,瀏覽器沒有發出任何警告,則證明該網站擁有合格的信任證書,確證是該銀行的網站。
楊和生指出,中國互聯網信息中心(CNNIC)作為一個頒發證書的機構,此前曾將一個認證google的信任證書發給了google以外的公司,從而令該公司能夠冒認google的網站,google用戶就可能會登入該網站泄露個人資料。因此google通過瀏覽器發出警告,告知用戶,該網站使用的是一張假證書。事後,google認為,CNNIC如此輕易發出信任證書,因此認為該機構發出的證書不可信任。
忽視警告 加密資料或外傳
他續稱,瀏覽器對中國網站僅會發出警告,使用與否的決定權最終在用戶手上。如果用戶瀏覽由CNNIC頒發信任證書的中國網站,瀏覽器就會發出警告,用戶自行選擇接受與否,如果繼續使用該網站,則將承受網上加密傳送的資料可能落在第三者手上的風險。而對於被警告的中國網站來說,如轉為購買其他受信任機構的信任證書,就不會再對用戶彈出警告。
更多要聞二
相關新聞
