当你访问一个网站,看到地址栏后面有一个小红锁和“安全”标志时,你是否会下意识地认为该网站是安全的? 像这样:
如您所见,Chrome 浏览器将该网站标记为“安全”。 但从URL来看,这是一个冒充Microsoft Play Store的钓鱼网站。 仔细观察苹果钓鱼网站源码,您会发现网站地址中的“.com”有些奇怪。
如果你使用Chrome浏览器的证书检测工具查看该网站的网站详细信息,你会发现另一件事:有十多个网站共享该网站的证书。
以上内容来自网站安全公司Wordfence近期发布的一份网站证书安全报告。 报告显示,目前存在大量钓鱼网站冒充微软、微软、苹果等知名公司,拥有多个组织颁发的SSL证书。 当用户访问该网站时,浏览器会将其标记为“安全”。
为什么会出现这种情况?
据小编了解,出现这样的情况主要是网站安全证书颁发错误造成的。 现在一些钓鱼网站也能通过微软的https网站安全测试,被标记为“安全网站”,正是因为它们得到了证书颁发机构的“加冕”。
浏览器和证书颁发机构(以下简称CA)是这样合作的:
网站所有者向CA机构证明自己是网站所有者,证明网站的合法性,交钱后即可获得证书(也有免费的网站证书)。
当用户使用浏览器访问某个网站时,浏览器会验证该网站证书的有效性,如果证书有效,浏览器就会将该网站标记为“安全”。 那么问题来了,如果证书颁发机构乱颁发证书,比如给钓鱼网站颁发证书,浏览器也会显示“安全”。
安全公司Wordfence发现,知名开源免费证书颁发机构Let's Encrypt错误地将部分网站证书授予钓鱼网站。 下面冒充苹果专卖店的钓鱼网站是这样的:
这种事情已经不是第一次发生了。 不久前,谷歌因证书颁发错误而开始封杀全球知名证书颁发机构赛门铁克CA。 (详细内容请参考小编()报道:巨头痛恨掠夺者,谷歌封杀赛门铁克证书背后的恩怨)
同时Wordfence表示,目前存在一个更严重的问题:
如果一个网站最初获得了正确的证书,但由于各种问题,证书被吊销,Chrome浏览器仍然会显示该网站是安全的。
这不是浏览器本身的问题,因为在Chrome的开发者工具中也可以看到证书吊销。 这是整个证书吊销机制的问题,这个问题很多年前就已经凸显出来了。
我们应该做什么?
结论是,当你访问某个网站时,如果听到地址栏对面有一个红色的小锁,这只意味着该网站使用的证书是有效的,但并不意味着该网站一定是安全的。 正确的做法是:
访问网站时,请确保地址栏中的第一个主机名是官方的,或者至少是您熟悉的。
