HTTPS 表示当前连接被加密,并不自动证明站点经营者可靠。仿冒站点同样可以取得有效证书。
先建立判断框架
区分 HTTPS、证书有效性与站点可信度,避免把小锁当作完整背书。。判断时不要依赖单一提示,也不要因为页面熟悉就跳过复核。把当下看到的信号、可追溯来源和可能后果放在一起,才能决定继续、暂停或退出。
核心原则证书是连接证据,不是内容、身份或信誉的完整证明;核验必须把多个信号放在一起。
按顺序完成四项检查
- 01
从地址栏定位真正的注册域名而非页面大字
完成后再进入下一步;当前条件无法核实时,记录为待确认并停止高风险操作。
- 02
检查证书是否有效、是否与当前域名匹配
完成后再进入下一步;当前条件无法核实时,记录为待确认并停止高风险操作。
- 03
辨认异常子域、连字符和同形字符
完成后再进入下一步;当前条件无法核实时,记录为待确认并停止高风险操作。
- 04
把域名与已保存的可信记录交叉核对
完成后再进入下一步;当前条件无法核实时,记录为待确认并停止高风险操作。
这些信号意味着应当暂停
- 只看到小锁就输入凭据
- 把子域前缀误认成主域名
- 忽略证书警告
- 从广告标题判断网站身份
暂停不是失败,而是给独立核验留下空间。不要从同一条可疑消息继续寻找“证明”,也不要为了验证页面而提交帐号、恢复代码或个人资料。
完成后的复核
证书是连接证据,不是内容、身份或信誉的完整证明;核验必须把多个信号放在一起。 将本次判断写成一句可复述的结论,并标明依据与日期;未来条件变化时,再重新检查。