专栏名称: 雷峰网
中国智能硬件第一媒体
目录
相关文章推荐
新浪科技  ·  【#Paytm新加坡公司将以419亿日元向软 ... ·  5 天前  
新浪科技  ·  【#马斯克身价突破3600亿美元# ... ·  5 天前  
51好读  ›  专栏  ›  雷峰网

科普 | 你知道吗?Chrome 浏览器标记安全的网站,其实未必安全

雷峰网  · 公众号  · 科技媒体  · 2017-04-09 10:21

正文

用 10 周时间,让你从 TensorFlow 基础入门,到搭建 CNN、自编码、RNN、GAN 等模型,并最终掌握开发的实战技能。4 月线上开课,www.mooc.ai 现已开放预约。


雷锋网按:当你访问网站,看到地址栏旁边有把绿色的小锁和标记 “安全” 时,会不会潜意识里面觉得这个网站是安全的?其实事情并非你想象得这么简单。

你可以看到,上图中 Chrome 浏览器标记网站是 “安全” 的。但从网址看来,这是一个假冒谷歌 Play 商店的钓鱼网站。仔细观察,你会发现网站地址中 “.com” 后面存在一些蹊跷。

如果用 Chrome 浏览器的证书检查工具来查看该网站网站详情,会发现另一件事:有十多个网站在共用这个网站证书。

以上内容来自于网站安全公司 Wordfence 最近发布的一篇网站证书安全报告。报告表明,有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的 SSL 证书当用户访问网站时,浏览器会将其标记为 “安全”。

为什么会出现这种情况?

据雷锋网了解,出现这样的情况,主要由于网站安全证书的错误颁发导致。如今一些钓鱼网站也能通过谷歌的 https 网站安全测试,被标记为 “安全网站”,正是因为他们得到了证书颁发机构的 “加冕”。

浏览器和证书颁发机构(以下简称 CA)是这样合作的:

网站的拥有者向 CA 机构证明自己是这个网站的拥有者,并且证明这个网站的合法性,交了钱(也有免费的网站证书)就可以获得证书了。

当用户用浏览器访问网站时,浏览器会验证该网站的证书的有效性,如果证书有效,浏览器就会将网站标记为 “安全”。于是问题来了,如果证书颁发机构胡乱颁发证书,比如颁发证书给一个钓鱼网站,浏览器同样会显示 “安全”。 

安全公司 Wordfence 发现,知名的开源免费证书颁发机构 Let's Encrypt 错误地将一些网站证书颁发给了钓鱼网站,下面这个假冒苹果商店的钓鱼网站便是如此:

这种事情并不是第一次发生,前不久谷歌公司就因为错误颁发证书的事,开始封杀全球知名的证书颁发机构赛门铁克 CA。(详见雷锋网报道:巨头怼巨头,谷歌封杀赛门铁克证书背后的恩怨情仇

同时,Wordfence 表示目前还存在一个更严重的问题:

假如一个网站先获取了正确的证书,但是由于种种问题,证书被撤销,Chrome 浏览器仍然会显示该网站是安全的。

这并不是浏览器本身的问题,因为在 Chrome 的开发者工具中能够看见证书的撤销情况。这是整个证书撤销机制出现了问题,而这个问题在许多年前就已经被指出。

我们该怎么办?

结论就是,当你访问一个网站时,如果看到地址栏旁边有一把绿色小锁,只能说明该网站使用的证书是有效的,但并不意味着该网站一定是安全的。正确的做法是:

访问网站时,确保地址栏中最前面的主机名是官方的,或者最起码是你熟悉的。比方说当你访问雷锋网的时候,请确保最前面的主机名是:leiphone.com。


点击关键词可查看相关历史文章


● ● 

近期热门


谷歌工程师亲述,TPU 为何会比 CPU、GPU 快 30 倍?

苹果对 Imagination 捉放曹,中方企业要不要买买买?

小蓝单车李刚:滴滴带给我的绝望已经过去

Uber 乱象大揭秘:自动驾驶团队已陷入 “小型内战”

和平分手?你根本不知道吴恩达在百度经历了什么

重磅 | 撕掉电商标签,还原阿里 “NASA” 的真实意图

从供应链的角度谈谈,我们真的能抵制韩货吗?

今日头条的引擎是怎么样工作的?

暗网买信用卡纪实:亲测盗刷无门槛

5G 比 4G 强在哪?看完这篇文章你就明白了


最新课程