淘新聞

你知道嗎?Chrome 流覽器標記安全的網站,其實未必安全

當你訪問網站,看到位址欄旁邊有把綠色的小鎖和標記“安全”時,會不會潛意識裡面覺得這個網站是安全的?就像這樣:

然而事實情況是,上圖中的網站就是一個釣魚網站。

你可以看到,Chrome流覽器標記網站是“安全”的。但從網址看來,這是一個假冒穀歌 Play 商店的釣魚網站。仔細觀察,你會發現網站地址中“.com”後面存在一些蹊蹺。

如果用 Chrome 流覽器的證書檢查工具來查看該網站網站詳情,會發現另一件事:有十多個網站在共用這個網站證書。

以上內容來自于網站安全公司 Wordfence 最近發佈的一篇網站證書安全報告。

報告表明,有大量冒充穀歌、微軟、蘋果等知名公司的釣魚網站擁有多個機構頒發的SSL證書

當用戶訪問網站時,流覽器會將其標記為“安全”。

為什麼會出現這種情況?

據雷鋒網瞭解,出現這樣的情況,主要由於網站安全證書的錯誤頒發導致。如今一些釣魚網站也能通過穀歌的 https 網站安全測試,被標記為“安全網站”,正是因為他們得到了憑證授權的“加冕”。

流覽器和憑證授權(以下簡稱CA)是這樣合作的:

網站的擁有者向CA機構證明自己是這個網站的擁有者,並且證明這個網站的合法性,交了錢(也有免費的網站證書)就可以獲得證書了。

當用戶用流覽器訪問網站時,流覽器會驗證該網站的證書的有效性,如果證書有效,流覽器就會將網站標記為“安全”。

於是問題來了,如果憑證授權胡亂頒發證書,比如頒發證書給一個釣魚網站,流覽器同樣會顯示“安全”。

安全公司 Wordfence 發現,知名的開源免費憑證授權 Let's Encrypt 錯誤地將一些網站證書頒發給了釣魚網站,下面這個假冒蘋果商店的釣魚網站便是如此:

這種事情並不是第一次發生,前不久穀歌公司就因為錯誤頒發證書的事,開始封殺全球知名的憑證授權賽門鐵克CA。(

詳見雷鋒網報導:巨頭懟巨頭,谷歌封殺賽門鐵克證書背後的恩怨情仇

同時,Wordfence 表示目前還存在一個更嚴重的問題:

假如一個網站先獲取了正確的證書,但是由於種種問題,證書被撤銷,Chrome 流覽器仍然會顯示該網站是安全的。

這並不是流覽器本身的問題,因為在Chrome的開發者工具中能夠看見證書的撤銷情況。

這是整個證書撤銷機制出現了問題

,而這個問題在許多年前就已經被指出。

我們該怎麼辦?

結論就是,當你訪問一個網站時,如果看到位址欄旁邊有一把綠色小鎖,只能說明該網站使用的證書是有效的,但並不意味著該網站一定是安全的。正確的做法是:

訪問網站時,確保位址欄中最前面的主機名稱是官方的,或者最起碼是你熟悉的。比方說當你訪問雷鋒網的時候,請確保最前面的主機名稱是:leiphone.com。