當(dāng)你訪問(wèn)網(wǎng)站，看到地址欄旁邊有把綠色的小鎖和標(biāo)記“安全”時(shí)，會(huì)不會(huì)潛意識(shí)里面覺(jué)得這個(gè)網(wǎng)站是安全的？就像這樣：

然而事實(shí)情況是，上圖中的網(wǎng)站就是一個(gè)釣魚(yú)網(wǎng)站。

你可以看到，Chrome瀏覽器標(biāo)記網(wǎng)站是“安全”的。但從網(wǎng)址看來(lái)，這是一個(gè)假冒谷歌 Play 商店的釣魚(yú)網(wǎng)站。仔細(xì)觀察，你會(huì)發(fā)現(xiàn)網(wǎng)站地址中“.com”后面存在一些蹊蹺。

如果用 Chrome 瀏覽器的證書(shū)檢查工具來(lái)查看該網(wǎng)站網(wǎng)站詳情，會(huì)發(fā)現(xiàn)另一件事：有十多個(gè)網(wǎng)站在共用這個(gè)網(wǎng)站證書(shū)。

以上內(nèi)容來(lái)自于網(wǎng)站安全公司 Wordfence 最近發(fā)布的一篇網(wǎng)站證書(shū)安全報(bào)告。報(bào)告表明，有大量冒充谷歌、微軟、蘋(píng)果等知名公司的釣魚(yú)網(wǎng)站擁有多個(gè)機(jī)構(gòu)頒發(fā)的SSL證書(shū)，當(dāng)用戶訪問(wèn)網(wǎng)站時(shí)，瀏覽器會(huì)將其標(biāo)記為“安全”。

為什么會(huì)出現(xiàn)這種情況？

據(jù)雷鋒網(wǎng)了解，出現(xiàn)這樣的情況，主要由于網(wǎng)站安全證書(shū)的錯(cuò)誤頒發(fā)導(dǎo)致。如今一些釣魚(yú)網(wǎng)站也能通過(guò)谷歌的 https 網(wǎng)站安全測(cè)試，被標(biāo)記為“安全網(wǎng)站”，正是因?yàn)樗麄兊玫搅俗C書(shū)頒發(fā)機(jī)構(gòu)的“加冕”。

瀏覽器和證書(shū)頒發(fā)機(jī)構(gòu)（以下簡(jiǎn)稱CA）是這樣合作的：

網(wǎng)站的擁有者向CA機(jī)構(gòu)證明自己是這個(gè)網(wǎng)站的擁有者，并且證明這個(gè)網(wǎng)站的合法性，交了錢(qián)（也有免費(fèi)的網(wǎng)站證書(shū)）就可以獲得證書(shū)了。

當(dāng)用戶用瀏覽器訪問(wèn)網(wǎng)站時(shí)，瀏覽器會(huì)驗(yàn)證該網(wǎng)站的證書(shū)的有效性，如果證書(shū)有效，瀏覽器就會(huì)將網(wǎng)站標(biāo)記為“安全”。于是問(wèn)題來(lái)了，如果證書(shū)頒發(fā)機(jī)構(gòu)胡亂頒發(fā)證書(shū)，比如頒發(fā)證書(shū)給一個(gè)釣魚(yú)網(wǎng)站，瀏覽器同樣會(huì)顯示“安全”。 

安全公司 Wordfence 發(fā)現(xiàn)，知名的開(kāi)源免費(fèi)證書(shū)頒發(fā)機(jī)構(gòu) Let's Encrypt 錯(cuò)誤地將一些網(wǎng)站證書(shū)頒發(fā)給了釣魚(yú)網(wǎng)站，下面這個(gè)假冒蘋(píng)果商店的釣魚(yú)網(wǎng)站便是如此：

這種事情并不是第一次發(fā)生，前不久谷歌公司就因?yàn)殄e(cuò)誤頒發(fā)證書(shū)的事，開(kāi)始封殺全球知名的證書(shū)頒發(fā)機(jī)構(gòu)賽門(mén)鐵克CA。（詳見(jiàn)雷鋒網(wǎng)報(bào)道：巨頭懟巨頭，谷歌封殺賽門(mén)鐵克證書(shū)背后的恩怨情仇）

同時(shí)，Wordfence 表示目前還存在一個(gè)更嚴(yán)重的問(wèn)題：

假如一個(gè)網(wǎng)站先獲取了正確的證書(shū)，但是由于種種問(wèn)題，證書(shū)被撤銷(xiāo)，Chrome 瀏覽器仍然會(huì)顯示該網(wǎng)站是安全的。

這并不是瀏覽器本身的問(wèn)題，因?yàn)樵贑hrome的開(kāi)發(fā)者工具中能夠看見(jiàn)證書(shū)的撤銷(xiāo)情況。這是整個(gè)證書(shū)撤銷(xiāo)機(jī)制出現(xiàn)了問(wèn)題，而這個(gè)問(wèn)題在許多年前就已經(jīng)被指出。

我們?cè)撛趺崔k？

結(jié)論就是，當(dāng)你訪問(wèn)一個(gè)網(wǎng)站時(shí)，如果看到地址欄旁邊有一把綠色小鎖，只能說(shuō)明該網(wǎng)站使用的證書(shū)是有效的，但并不意味著該網(wǎng)站一定是安全的。正確的做法是：

訪問(wèn)網(wǎng)站時(shí)，確保地址欄中最前面的主機(jī)名是官方的，或者最起碼是你熟悉的。比方說(shuō)當(dāng)你訪問(wèn)雷鋒網(wǎng)的時(shí)候，請(qǐng)確保最前面的主機(jī)名是：leiphone.com。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。