當(dāng)你訪問網(wǎng)站，看到地址欄旁邊有把綠色的小鎖和標(biāo)記“安全”時，會不會潛意識里面覺得這個網(wǎng)站是安全的？就像這樣：

然而事實情況是，上圖中的網(wǎng)站就是一個釣魚網(wǎng)站。

你可以看到，Chrome瀏覽器標(biāo)記網(wǎng)站是“安全”的。但從網(wǎng)址看來，這是一個假冒谷歌 Play 商店的釣魚網(wǎng)站。仔細(xì)觀察，你會發(fā)現(xiàn)網(wǎng)站地址中“.com”后面存在一些蹊蹺。

如果用 Chrome 瀏覽器的證書檢查工具來查看該網(wǎng)站網(wǎng)站詳情，會發(fā)現(xiàn)另一件事：有十多個網(wǎng)站在共用這個網(wǎng)站證書。

以上內(nèi)容來自于網(wǎng)站安全公司 Wordfence 最近發(fā)布的一篇網(wǎng)站證書安全報告。報告表明，有大量冒充谷歌、微軟、蘋果等知名公司的釣魚網(wǎng)站擁有多個機(jī)構(gòu)頒發(fā)的SSL證書，當(dāng)用戶訪問網(wǎng)站時，瀏覽器會將其標(biāo)記為“安全”。

為什么會出現(xiàn)這種情況？

據(jù)雷鋒網(wǎng)了解，出現(xiàn)這樣的情況，主要由于網(wǎng)站安全證書的錯誤頒發(fā)導(dǎo)致。如今一些釣魚網(wǎng)站也能通過谷歌的 https 網(wǎng)站安全測試，被標(biāo)記為“安全網(wǎng)站”，正是因為他們得到了證書頒發(fā)機(jī)構(gòu)的“加冕”。

瀏覽器和證書頒發(fā)機(jī)構(gòu)（以下簡稱CA）是這樣合作的：

網(wǎng)站的擁有者向CA機(jī)構(gòu)證明自己是這個網(wǎng)站的擁有者，并且證明這個網(wǎng)站的合法性，交了錢（也有免費(fèi)的網(wǎng)站證書）就可以獲得證書了。

當(dāng)用戶用瀏覽器訪問網(wǎng)站時，瀏覽器會驗證該網(wǎng)站的證書的有效性，如果證書有效，瀏覽器就會將網(wǎng)站標(biāo)記為“安全”。于是問題來了，如果證書頒發(fā)機(jī)構(gòu)胡亂頒發(fā)證書，比如頒發(fā)證書給一個釣魚網(wǎng)站，瀏覽器同樣會顯示“安全”。 

安全公司 Wordfence 發(fā)現(xiàn)，知名的開源免費(fèi)證書頒發(fā)機(jī)構(gòu) Let's Encrypt 錯誤地將一些網(wǎng)站證書頒發(fā)給了釣魚網(wǎng)站，下面這個假冒蘋果商店的釣魚網(wǎng)站便是如此：

這種事情并不是第一次發(fā)生，前不久谷歌公司就因為錯誤頒發(fā)證書的事，開始封殺全球知名的證書頒發(fā)機(jī)構(gòu)賽門鐵克CA。（詳見雷鋒網(wǎng)報道：巨頭懟巨頭，谷歌封殺賽門鐵克證書背后的恩怨情仇）

同時，Wordfence 表示目前還存在一個更嚴(yán)重的問題：

假如一個網(wǎng)站先獲取了正確的證書，但是由于種種問題，證書被撤銷，Chrome 瀏覽器仍然會顯示該網(wǎng)站是安全的。

這并不是瀏覽器本身的問題，因為在Chrome的開發(fā)者工具中能夠看見證書的撤銷情況。這是整個證書撤銷機(jī)制出現(xiàn)了問題，而這個問題在許多年前就已經(jīng)被指出。

我們該怎么辦？

結(jié)論就是，當(dāng)你訪問一個網(wǎng)站時，如果看到地址欄旁邊有一把綠色小鎖，只能說明該網(wǎng)站使用的證書是有效的，但并不意味著該網(wǎng)站一定是安全的。正確的做法是：

訪問網(wǎng)站時，確保地址欄中最前面的主機(jī)名是官方的，或者最起碼是你熟悉的。比方說當(dāng)你訪問雷鋒網(wǎng)的時候，請確保最前面的主機(jī)名是：leiphone.com。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。