当你访问网站,看到位址栏旁边有把绿色的小锁和标记“安全”时,会不会潜意识里面觉得这个网站是安全的?就像下图。
然而事实情况是,上图中的网站是一个钓鱼网站。
你可以看到,Chrome 浏览器标记网站是“安全”的,但从网址看来,这是一个假冒 Google Play 商店的钓鱼网站。仔细观察,你会发现网站地址中“.com”后面存在一些蹊跷。
如果用 Chrome 浏览器的证书检查工具来查看该网站网站详情,会发现另一件事:有十多个网站在共用这个网站证书。
以上内容来自网站安全公司 Wordfence 最近发布的一篇网站证书安全报告。报告表明,有大量冒充 Google、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的 SSL 证书,当用户访问网站时,浏览器会将其标记为“安全”。
为什么会出现这种情况?
据了解,出现这样的情况,主要由于网站安全证书的错误颁发导致。如今一些钓鱼网站也能透过 Google 的 https 网站安全测试,被标记为“安全网站”,正是因为他们得到了凭证授权的“加冕”。
浏览器和凭证授权(以下简称 CA)是这样合作的:
网站的拥有者向 CA 机构证明自己是这个网站的拥有者,并且证明这个网站的合法性,交了钱(也有免费的网站证书)就可以获得证书了。
当用户用浏览器访问网站时,浏览器会验证该网站的证书的有效性,如果证书有效,浏览器就会将网站标记为“安全”。于是问题来了,如果凭证授权胡乱颁发证书,比如颁发证书给一个钓鱼网站,浏览器同样会显示“安全”。
资安公司 Wordfence 发现,知名的开源免费凭证授权 Let’s Encrypt 错误地将一些网站证书发给钓鱼网站,下面这个假冒苹果商店的钓鱼网站便是如此:
这种事情并不是第一次发生,前不久 Google 公司就因为错误颁发证书的事,封杀全球知名的凭证授权赛门铁克 CA。
同时,Wordfence 表示目前还存在一个更严重的问题:
假如一个网站先获取了正确的证书,但是由于种种问题,证书被撤销,Chrome 浏览器仍然会显示该网站是安全的。
这并不是浏览器本身的问题,因为在 Chrome 的开发者工具中能够看见证书的撤销情况。这是整个证书撤销机制出现问题,而这个问题在许多年前就已经被指出。
我们该怎么办?
结论就是,当你访问一个网站时,如果看到位址栏旁边有一把绿色小锁,只能说明该网站使用的证书是有效的,但并不意味着该网站一定是安全的。正确的做法是:
访问网站时,确保位址栏中最前面的主机名称是官方的,或者最起码是你熟悉的。比方说当你访问科技新报的时候,请确认最前面的主机名称是:technews.tw。
(本文由 雷锋网 授权转载;首图来源:pixabay)
延伸阅读:
- Google 揭露赛门铁克软件严重安全漏洞,建议立即更新
- 全面采用 HTTPS 有难度,就算 Google 自己也有 ¼ 连线未加密
- 网络大咖支持成立凭证中心 Let’s Encrypt 倡议 HTTPS 加密传输
