當你通路網站,看到位址欄旁邊有把綠色的小鎖和标記“安全”時,會不會潛意識裡面覺得這個網站是安全的?就像這樣:
然而事實情況是,上圖中的網站就是一個釣魚網站。
你可以看到,chrome浏覽器标記網站是“安全”的。但從網址看來,這是一個假冒谷歌 play 商店的釣魚網站。仔細觀察,你會發現網站位址中“.com”後面存在一些蹊跷。
如果用 chrome 浏覽器的證書檢查工具來檢視該網站網站詳情,會發現另一件事:有十多個網站在共用這個網站證書。
以上内容來自于網站安全公司 wordfence 最近釋出的一篇網站證書安全報告。報告表明,有大量冒充谷歌、微軟、蘋果等知名公司的釣魚網站擁有多個機構頒發的ssl證書,當使用者通路網站時,浏覽器會将其标記為“安全”。
據雷鋒網了解,出現這樣的情況,主要由于網站安全證書的錯誤頒發導緻。如今一些釣魚網站也能通過谷歌的 https 網站安全測試,被标記為“安全網站”,正是因為他們得到了證書頒發機構的“加冕”。
浏覽器和證書頒發機構(以下簡稱ca)是這樣合作的:
網站的擁有者向ca機構證明自己是這個網站的擁有者,并且證明這個網站的合法性,交了錢(也有免費的網站證書)就可以獲得證書了。
當使用者用浏覽器通路網站時,浏覽器會驗證該網站的證書的有效性,如果證書有效,浏覽器就會将網站标記為“安全”。于是問題來了,如果證書頒發機構胡亂頒發證書,比如頒發證書給一個釣魚網站,浏覽器同樣會顯示“安全”。
安全公司 wordfence 發現,知名的開源免費證書頒發機構 let's encrypt 錯誤地将一些網站證書頒發給了釣魚網站,下面這個假冒蘋果商店的釣魚網站便是如此:
同時,wordfence 表示目前還存在一個更嚴重的問題:
假如一個網站先擷取了正确的證書,但是由于種種問題,證書被撤銷,chrome 浏覽器仍然會顯示該網站是安全的。 這并不是浏覽器本身的問題,因為在chrome的開發者工具中能夠看見證書的撤銷情況。這是整個證書撤銷機制出現了問題,而這個問題在許多年前就已經被指出。
結論就是,當你通路一個網站時,如果看到位址欄旁邊有一把綠色小鎖,隻能說明該網站使用的證書是有效的,但并不意味着該網站一定是安全的。正确的做法是:
通路網站時,確定位址欄中最前面的主機名是官方的,或者最起碼是你熟悉的。比方說當你通路雷鋒網(公衆号:雷鋒網)的時候,請確定最前面的主機名是:leiphone.com。