当你访问一个网站,看到地址栏旁边有一把绿色的小锁和“安全”标记时,你可能会下意识地认为这个网站是安全的。然而,事实可能并非如此。看看下面的例子:
上图中的网站实际上是一个钓鱼网站。尽管Chrome浏览器将其标记为“安全”,但仔细观察网址,你会发现这是假冒的谷歌Play商店,网址中的“.com”后有些可疑之处。
如果你使用Chrome浏览器的证书检查工具查看该网站的详细信息,会发现一个令人震惊的事实:有十多个网站共用这个网站证书。
这些信息来自于网站安全公司Wordfence最近发布的一份关于网站证书安全的报告。报告显示,有大量假冒谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书,当用户访问这些网站时,浏览器会将其标记为“安全”。
为什么会出现这种情况呢?
据了解,这种情况主要是由于网站安全证书的错误颁发所导致的。如今,一些钓鱼网站也能通过谷歌的https网站安全测试,被标记为“安全网站”,这是因为它们获得了证书颁发机构的“认证”。
浏览器和证书颁发机构(以下简称CA)是如何合作的呢?
网站的拥有者向CA机构证明自己是该网站的合法拥有者,并支付费用(也有免费的证书)后,就可以获得证书。
当用户通过浏览器访问网站时,浏览器会验证该网站证书的有效性,如果证书有效,浏览器就会将网站标记为“安全”。问题在于,如果证书颁发机构错误地颁发证书给钓鱼网站,浏览器仍然会显示“安全”。
安全公司Wordfence发现,著名的开源免费证书颁发机构Let's Encrypt错误地将一些证书颁发给了钓鱼网站,例如下面的假冒苹果商店的钓鱼网站:
这种情况并不是首次发生。前不久,谷歌公司就因为错误颁发证书的事件,开始封杀全球知名的证书颁发机构赛门铁克CA。(详见报道:巨头之间的较量,谷歌封杀赛门铁克证书的背后故事)
同时,Wordfence指出,目前还存在一个更严重的问题:
如果一个网站先获取了正确的证书,但由于某些原因证书被撤销,Chrome浏览器仍然会显示该网站是安全的。
这并不是浏览器本身的问题,因为在Chrome的开发者工具中可以看到证书的撤销情况。这是整个证书撤销机制出现了问题,而这个问题在许多年前就已被指出。
那么,我们该怎么办呢?
结论是,当你访问一个网站时,看到地址栏旁边有一把绿色小锁,只能说明该网站使用的证书是有效的,但并不意味着该网站一定是安全的。正确的做法是:
访问网站时,确保地址栏中最前面的主机名是官方的,或者至少是你熟悉的。例如,当你访问雷锋网时,请确保最前面的主机名是:leiphone.com。
