【赛迪网讯】2月5日消息,微软已悄悄启动Internet Explorer 7新增的防网络钓鱼新功能。凡经确认安全的网站,IE7网址列表将会以绿色表示。
据CNET报道,微软Windows产品经理Markellos Diorinos接受采访时表示,微软1月初调整计算机系统,让符合新式安全认证的网站在IE7网址列表以绿色呈现。
Diorinos说:“许多必需的组件已部署妥当,所有移动组件也即将到位。”微软计划本周在旧金山举行的RSA Conference年度安全会议中,宣传绿色网址列表。
绿网址列表的用意,是显示某个网站值得信任,有如交通中的绿灯一般,让网络使用者放心在这些网站进行交易。绿网址列表已出现在Overstock.com和VeriSign的安全网站上。
VeriSign资深产品经理Spiros Theodossiou说,VeriSign拥有包括300名客户,包括在线零售商Overstock.com。这些客户已加入绿网址列表认证程序。他说,VeriSign将在RSA Conference公布更多参与网站的名单。
网钓是网络上十分猖獗的诈骗行为,利用仿冒的网站骗使用者上传个人数据。这种诈骗手法已造成企业相当多的营收损失,并打击消费者对互联网的信任。Gartner的调查估计,2006年因为安全顾虑而流失的美国电子商务销售额将近20亿美元。
Diorinos说:“我们希望使用者建立信心,觉得网络交易是安全的。EV (extended validation,延伸认证)是我们达到那个目标的一种方式。”
微软最新版浏览器IE 7只有在某网站具备延伸认证凭证(extended validation certificate;EV SSL)的情况下,才会显示绿色网址列表。EV SSL是一种新式安全认证凭证,由销售SSL的同一批公司核准出售。SSL凭证将网络传输信息加密,并在网页浏览器中以黄色挂锁标示。
业界普遍的共识是,网页浏览器对值得信任网站的辨识能力必须加强。目前用的挂锁图标只能显示跟某网站互通的信息经过加密处理,并已由第三方(即认证单位)确认。然而,技术标准松散和疏于监督已造成这套系统可靠性打折扣。
EV SSL凭证与其它允许浏览器与网站联机的凭证类似,差别在于进一步验证每份凭证的持有者身分。申请验证者必须通过一项严格的审查过程,这是所有凭证核发者都必须遵循的。因此,取得EV凭证的费用高于传统的SSL凭证。
例如,Cybertrust销售的传统凭证费用是年缴费230美元,但EV SSL凭证年费要800美元。VeriSign的EV SSL凭证一年收费995美元,传统凭证年费只要399美元。也有厂商打折扣,例如GoDaddy的最低费率为每年19.99美元。
微软采用的这套新系统引起的反应毁誉参半。初期,只有已注册的独立实体(incorporated entities)才能获得这项信任标章,但这样的规定无疑是把小型厂商挡在门外。负责制定EV SSL凭证规定的CA Browser Forum组织,此刻仍在研拟一套指导方针,以便把所有合法的网站都纳入。
Diorinos说:“CA Browser Forum正持续解决这个问题。这或许是优先处理的首要议题。”
CA Browser Forum由核发网站安全凭证的公司以及主要浏览器制造商组成。该组织正小心翼翼行事,以免削弱EV SSL安全认证机制。
VeriSign的Theodossiou说:“我们不希望最后产生一种讨好未注册商家的标准,使得安全漏洞又增加。我们希望确定这项标准是正确的。试图推出可能平添漏洞的标准,只会贬损绿色网址列表的价值。”
微软是第一家采用EV SSL凭证的浏览器软件公司。其它浏览器公司仍在考虑是否支持这项新标准。
负责Firefox浏览器开发统筹的Mozilla安全官Window Snyder说:“我们将在Firefox 3加入对EV凭证的支持,但我们仍在研究如何把新增的消息告知使用者。”他表示,Firefox 3预定在今年下半年推出。
Opera的发言人表示,仍在观望微软IE7绿网址列表的效果如何。