當你訪問網站,看到地址欄旁邊有把綠色的小鎖和標記“安全”時����,會不會潛意識里面覺得這個網站是安全的���?就像這樣:
你知道嗎��?Chrome 瀏覽器標記安全的網站����,其實未必安全
然而事實情況是���,上圖中的網站就是一個釣魚網站����。
你可以看到,Chrome瀏覽器標記網站是“安全”的���。但從網址看來����,這是一個假冒谷歌 Play 商店的釣魚網站��。仔細觀察���,你會發(fā)現網站地址中“.com”后面存在一些蹊蹺����。
如果用 Chrome 瀏覽器的證書檢查工具來查看該網站網站詳情���,會發(fā)現另一件事:有十多個網站在共用這個網站證書���。
你知道嗎?Chrome 瀏覽器標記安全的網站��,其實未必安全
以上內容來自于網站安全公司 Wordfence 最近發(fā)布的一篇網站證書安全報告。報告表明���,有大量冒充谷歌����、微軟���、蘋果等知名公司的釣魚網站擁有多個機構頒發(fā)的SSL證書��,當用戶訪問網站時����,瀏覽器會將其標記為“安全”����。
為什么會出現這種情況?
據小編了解����,出現這樣的情況��,主要由于網站安全證書的錯誤頒發(fā)導致����。如今一些釣魚網站也能通過谷歌的 https 網站安全測試��,被標記為“安全網站”��,正是因為他們得到了證書頒發(fā)機構的“加冕”���。
瀏覽器和證書頒發(fā)機構(以下簡稱CA)是這樣合作的:
網站的擁有者向CA機構證明自己是這個網站的擁有者,并且證明這個網站的合法性����,交了錢(也有免費的網站證書)就可以獲得證書了。
當用戶用瀏覽器訪問網站時��,瀏覽器會驗證該網站的證書的有效性��,如果證書有效��,瀏覽器就會將網站標記為“安全”��。于是問題來了����,如果證書頒發(fā)機構胡亂頒發(fā)證書,比如頒發(fā)證書給一個釣魚網站���,瀏覽器同樣會顯示“安全”����。
安全公司 Wordfence 發(fā)現,知名的開源免費證書頒發(fā)機構 Let's Encrypt 錯誤地將一些網站證書頒發(fā)給了釣魚網站����,下面這個假冒蘋果商店的釣魚網站便是如此:
你知道嗎?Chrome 瀏覽器標記安全的網站����,其實未必安全
這種事情并不是第一次發(fā)生,前不久谷歌公司就因為錯誤頒發(fā)證書的事��,開始封殺全球知名的證書頒發(fā)機構賽門鐵克CA���。(詳見小編()報道:巨頭懟巨頭��,谷歌封殺賽門鐵克證書背后的恩怨情仇)
同時��,Wordfence 表示目前還存在一個更嚴重的問題:
假如一個網站先獲取了正確的證書��,但是由于種種問題���,證書被撤銷,Chrome 瀏覽器仍然會顯示該網站是安全的��。
這并不是瀏覽器本身的問題���,因為在Chrome的開發(fā)者工具中能夠看見證書的撤銷情況����。這是整個證書撤銷機制出現了問題����,而這個問題在許多年前就已經被指出。
我們該怎么辦��?
結論就是����,當你訪問一個網站時,如果看到地址欄旁邊有一把綠色小鎖���,只能說明該網站使用的證書是有效的��,但并不意味著該網站一定是安全的���。正確的做法是:訪問網站時����,確保地址欄中最前面的主機名是官方的����,或者最起碼是你熟悉的。互諾科技
粵公網安備 44010402000282號