當(dāng)你訪問網(wǎng)站�,看到地址欄旁邊有把綠色的小鎖和標(biāo)記“安全”時(shí)����,會(huì)不會(huì)潛意識(shí)里面覺得這個(gè)網(wǎng)站是安全的�����?就像這樣:
你知道嗎��?Chrome 瀏覽器標(biāo)記安全的網(wǎng)站����,其實(shí)未必安全
然而事實(shí)情況是�,上圖中的網(wǎng)站就是一個(gè)釣魚網(wǎng)站。
你可以看到�����,Chrome瀏覽器標(biāo)記網(wǎng)站是“安全”的。但從網(wǎng)址看來(lái)��,這是一個(gè)假冒谷歌 Play 商店的釣魚網(wǎng)站��。仔細(xì)觀察����,你會(huì)發(fā)現(xiàn)網(wǎng)站地址中“.com”后面存在一些蹊蹺。
如果用 Chrome 瀏覽器的證書檢查工具來(lái)查看該網(wǎng)站網(wǎng)站詳情���,會(huì)發(fā)現(xiàn)另一件事:有十多個(gè)網(wǎng)站在共用這個(gè)網(wǎng)站證書����。
你知道嗎��?Chrome 瀏覽器標(biāo)記安全的網(wǎng)站���,其實(shí)未必安全
以上內(nèi)容來(lái)自于網(wǎng)站安全公司 Wordfence 最近發(fā)布的一篇網(wǎng)站證書安全報(bào)告�。報(bào)告表明�,有大量冒充谷歌、微軟�����、蘋果等知名公司的釣魚網(wǎng)站擁有多個(gè)機(jī)構(gòu)頒發(fā)的SSL證書,當(dāng)用戶訪問網(wǎng)站時(shí)����,瀏覽器會(huì)將其標(biāo)記為“安全”。
為什么會(huì)出現(xiàn)這種情況����?
據(jù)小編了解,出現(xiàn)這樣的情況����,主要由于網(wǎng)站安全證書的錯(cuò)誤頒發(fā)導(dǎo)致。如今一些釣魚網(wǎng)站也能通過(guò)谷歌的 https 網(wǎng)站安全測(cè)試�,被標(biāo)記為“安全網(wǎng)站”,正是因?yàn)樗麄兊玫搅俗C書頒發(fā)機(jī)構(gòu)的“加冕”����。
瀏覽器和證書頒發(fā)機(jī)構(gòu)(以下簡(jiǎn)稱CA)是這樣合作的:
網(wǎng)站的擁有者向CA機(jī)構(gòu)證明自己是這個(gè)網(wǎng)站的擁有者�,并且證明這個(gè)網(wǎng)站的合法性,交了錢(也有免費(fèi)的網(wǎng)站證書)就可以獲得證書了����。
當(dāng)用戶用瀏覽器訪問網(wǎng)站時(shí),瀏覽器會(huì)驗(yàn)證該網(wǎng)站的證書的有效性,如果證書有效�����,瀏覽器就會(huì)將網(wǎng)站標(biāo)記為“安全”��。于是問題來(lái)了���,如果證書頒發(fā)機(jī)構(gòu)胡亂頒發(fā)證書���,比如頒發(fā)證書給一個(gè)釣魚網(wǎng)站,瀏覽器同樣會(huì)顯示“安全”�����。
安全公司 Wordfence 發(fā)現(xiàn)���,知名的開源免費(fèi)證書頒發(fā)機(jī)構(gòu) Let's Encrypt 錯(cuò)誤地將一些網(wǎng)站證書頒發(fā)給了釣魚網(wǎng)站����,下面這個(gè)假冒蘋果商店的釣魚網(wǎng)站便是如此:
你知道嗎�?Chrome 瀏覽器標(biāo)記安全的網(wǎng)站,其實(shí)未必安全
這種事情并不是第一次發(fā)生���,前不久谷歌公司就因?yàn)殄e(cuò)誤頒發(fā)證書的事����,開始封殺全球知名的證書頒發(fā)機(jī)構(gòu)賽門鐵克CA。(詳見小編()報(bào)道:巨頭懟巨頭����,谷歌封殺賽門鐵克證書背后的恩怨情仇)
同時(shí),Wordfence 表示目前還存在一個(gè)更嚴(yán)重的問題:
假如一個(gè)網(wǎng)站先獲取了正確的證書����,但是由于種種問題,證書被撤銷�����,Chrome 瀏覽器仍然會(huì)顯示該網(wǎng)站是安全的����。
這并不是瀏覽器本身的問題,因?yàn)樵贑hrome的開發(fā)者工具中能夠看見證書的撤銷情況���。這是整個(gè)證書撤銷機(jī)制出現(xiàn)了問題,而這個(gè)問題在許多年前就已經(jīng)被指出��。
我們?cè)撛趺崔k?
結(jié)論就是�����,當(dāng)你訪問一個(gè)網(wǎng)站時(shí)����,如果看到地址欄旁邊有一把綠色小鎖,只能說(shuō)明該網(wǎng)站使用的證書是有效的��,但并不意味著該網(wǎng)站一定是安全的��。正確的做法是:訪問網(wǎng)站時(shí)���,確保地址欄中最前面的主機(jī)名是官方的�,或者最起碼是你熟悉的���。互諾科技
粵公網(wǎng)安備 44010402000282號(hào)