Chrome 瀏覽器標記安全的網站,其實未必安全

作者 | 發布日期 2017 年 04 月 10 日 13:24 | 分類 3C , Google , 網路 follow us in feedly

當你訪問網站,看到位址欄旁邊有把綠色的小鎖和標記「安全」時,會不會潛意識裡面覺得這個網站是安全的?就像下圖。



然而事實情況是,上圖中的網站是一個釣魚網站。

你可以看到,Chrome 瀏覽器標記網站是「安全」的,但從網址看來,這是一個假冒 Google Play 商店的釣魚網站。仔細觀察,你會發現網站地址中「.com」後面存在一些蹊蹺。

如果用 Chrome 瀏覽器的證書檢查工具來查看該網站網站詳情,會發現另一件事:有十多個網站在共用這個網站證書。

以上內容來自網站安全公司 Wordfence 最近發布的一篇網站證書安全報告。報告表明,有大量冒充 Google、微軟、蘋果等知名公司的釣魚網站擁有多個機構頒發的 SSL 證書,當用戶訪問網站時,瀏覽器會將其標記為「安全」。

為什麼會出現這種情況?

據了解,出現這樣的情況,主要由於網站安全證書的錯誤頒發導致。如今一些釣魚網站也能透過 Google 的 https 網站安全測試,被標記為「安全網站」,正是因為他們得到了憑證授權的「加冕」。

瀏覽器和憑證授權(以下簡稱 CA)是這樣合作的:

網站的擁有者向 CA 機構證明自己是這個網站的擁有者,並且證明這個網站的合法性,交了錢(也有免費的網站證書)就可以獲得證書了。

當用戶用瀏覽器訪問網站時,瀏覽器會驗證該網站的證書的有效性,如果證書有效,瀏覽器就會將網站標記為「安全」。於是問題來了,如果憑證授權胡亂頒發證書,比如頒發證書給一個釣魚網站,瀏覽器同樣會顯示「安全」。

資安公司 Wordfence 發現,知名的開源免費憑證授權 Let’s Encrypt 錯誤地將一些網站證書發給釣魚網站,下面這個假冒蘋果商店的釣魚網站便是如此:

這種事情並不是第一次發生,前不久 Google 公司就因為錯誤頒發證書的事,封殺全球知名的憑證授權賽門鐵克 CA。

同時,Wordfence 表示目前還存在一個更嚴重的問題:

假如一個網站先獲取了正確的證書,但是由於種種問題,證書被撤銷,Chrome 瀏覽器仍然會顯示該網站是安全的。

這並不是瀏覽器本身的問題,因為在 Chrome 的開發者工具中能夠看見證書的撤銷情況。這是整個證書撤銷機制出現問題,而這個問題在許多年前就已經被指出。

我們該怎麼辦?

結論就是,當你訪問一個網站時,如果看到位址欄旁邊有一把綠色小鎖,只能說明該網站使用的證書是有效的,但並不意味著該網站一定是安全的。正確的做法是:

訪問網站時,確保位址欄中最前面的主機名稱是官方的,或者最起碼是你熟悉的。比方說當你訪問科技新報的時候,請確認最前面的主機名稱是:technews.tw。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay

延伸閱讀: