你知道嗎？Chrome 流覽器標記安全的網站，其實未必安全

當你訪問網站，看到位址欄旁邊有把綠色的小鎖和標記“安全”時，會不會潛意識裡面覺得這個網站是安全的？就像這樣：

然而事實情況是，上圖中的網站就是一個釣魚網站。

你可以看到，Chrome流覽器標記網站是“安全”的。但從網址看來，這是一個假冒穀歌 Play 商店的釣魚網站。仔細觀察，你會發現網站地址中“.com”後面存在一些蹊蹺。

如果用 Chrome 流覽器的證書檢查工具來查看該網站網站詳情，會發現另一件事：有十多個網站在共用這個網站證書。

以上內容來自于網站安全公司 Wordfence 最近發佈的一篇網站證書安全報告。

報告表明，有大量冒充穀歌、微軟、蘋果等知名公司的釣魚網站擁有多個機構頒發的SSL證書

，

當用戶訪問網站時，流覽器會將其標記為“安全”。

為什麼會出現這種情況？

據雷鋒網瞭解，出現這樣的情況，主要由於網站安全證書的錯誤頒發導致。如今一些釣魚網站也能通過穀歌的 https 網站安全測試，被標記為“安全網站”，正是因為他們得到了憑證授權的“加冕”。

流覽器和憑證授權（以下簡稱CA）是這樣合作的：

網站的擁有者向CA機構證明自己是這個網站的擁有者，並且證明這個網站的合法性，交了錢（也有免費的網站證書）就可以獲得證書了。

當用戶用流覽器訪問網站時，流覽器會驗證該網站的證書的有效性，如果證書有效，流覽器就會將網站標記為“安全”。

於是問題來了，如果憑證授權胡亂頒發證書，比如頒發證書給一個釣魚網站，流覽器同樣會顯示“安全”。

安全公司 Wordfence 發現，知名的開源免費憑證授權 Let's Encrypt 錯誤地將一些網站證書頒發給了釣魚網站，下面這個假冒蘋果商店的釣魚網站便是如此：

這種事情並不是第一次發生，前不久穀歌公司就因為錯誤頒發證書的事，開始封殺全球知名的憑證授權賽門鐵克CA。（

詳見雷鋒網報導：巨頭懟巨頭，谷歌封殺賽門鐵克證書背後的恩怨情仇

）

同時，Wordfence 表示目前還存在一個更嚴重的問題：

假如一個網站先獲取了正確的證書，但是由於種種問題，證書被撤銷，Chrome 流覽器仍然會顯示該網站是安全的。

這並不是流覽器本身的問題，因為在Chrome的開發者工具中能夠看見證書的撤銷情況。

這是整個證書撤銷機制出現了問題

，而這個問題在許多年前就已經被指出。

我們該怎麼辦？

結論就是，當你訪問一個網站時，如果看到位址欄旁邊有一把綠色小鎖，只能說明該網站使用的證書是有效的，但並不意味著該網站一定是安全的。正確的做法是：

訪問網站時，確保位址欄中最前面的主機名稱是官方的，或者最起碼是你熟悉的。比方說當你訪問雷鋒網的時候，請確保最前面的主機名稱是：leiphone.com。