国际主流浏览器厂商多采用这种方式。网站主办者通过向第三方数字证书认证机构申请,获得支持绿色地址栏的服务器证书产品。将支持绿色地址栏的证书配置到服务器上以后,只有当客户端使用https的安全方式访问到站点时,绿色地址栏才能够被激活。同时,网站与客户端之间的数据将被加密后进行传输。
使用浏览器厂商自定义的白名单激活的绿色地址栏只能对知名站点开放服务,且多只针对站点页面包含交易或支付类的站点。而一些资讯类的知名站点并不在其中。中小企业IT人员往往不能通过合理的途径获得绿色地址栏的认证功能。
由于白名单只是通过地址栏输入的域名与白名单的比对来实现绿色地址栏,在客户端受DNS攻击时,访问钓鱼网站也会显示绿色地址栏。这种白名单机制在一定程度上仍然存在缺陷。
使用服务器证书的第三方认证来激活绿色地址栏,是国际通行的方法。通过第三方认证机构,对服务器证书申请单位进行验证,确保拿到该服务器证书的就是网站主办者的承责单位。如果承责单位在激活了绿色地址栏的网站页面上实施违法犯罪活动,将客户通过颁发服务器证书时获取的第三方认证信息追查到服务器证书的真实持有者。通过法律诉讼环节,可以追究到网站主办承责单位的刑事责任。
绿色地址栏实际上是EV
SSL证书的展示形式,用以抗击欺诈钓鱼网站。Extended Validation SSL Certificate(简称为:EV SSL 证书)。EV SSL 证书的产生是为了对付日益猖獗的网上欺诈犯罪,意在恢复并增强人们对网上在线交易的信心。该证书作为SSL证书家族一员,其颁发过程严格遵循全球统一的严格身份验证标准。如果您的网站部署了EV SSL证书,用户访问时浏览器的地址栏会变成绿色, 并在地址栏后面显示一个安全锁标志和轮流显示此网站的单位名称和此证书的颁发机构,明确指出此网站的身份已经此证书颁发机构严格验证,网站安全可靠。据部署过EVSSL的网站统计,其交易量提高可达27%。VeriSign是国际上最为领先的EVSSL技术提供者,成功在全球部署超过10,000张,其拥有独特的反钓鱼欺诈技术的EV证书拥有极高的客户知晓度。VeriSign
EVSSL证书已陆续在国内一些知名网站配发,其国内官方合作伙伴天威诚信数字认证中心(iTrusChina)以成功为招商银行、工商银行、中信银行等网站完成了反钓鱼网站技术升级,相信不久国内欺诈钓鱼网站事件很大程度上得到缓解。最典型的网络钓鱼攻击过程如下:首先将用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,然后获取用户在该钓鱼网站上输入的个人敏感信息,例如银行账号、银行密码等。通常这个攻击过程不会让受害者警觉。这些个人信息对钓鱼网站持有者具有非常大的吸引力,通过使用窃取到的个人信息,他们可以假冒受害者进行欺诈性金融交易,获得极大的经济利益,而受害者们却因此而遭受到巨大的经济损失,非但如此,被窃取的个人信息还可能被用于其他非法活动。