上个月底曾有报道称,微软的 edge 浏览器在 pwn2own 2017 世界黑客大赛期间连续被黑五次,然而谷歌的 chrome 在规定时间内无法入侵,成为最牢不可破的网络浏览器产品。不过,这就表示 chrome 真的坚不可摧了吗?并非如此。因为尽管 chrome 地址栏一侧能够提供网站安全检测,但其实并不意味着访问的网站绝对完全,毕竟网站的 ssl 证书都是由 ca 颁发。
近日,安全公司 wordfence 发布的一份报告称,证书颁发机构 ca 颁发给某些网站安全证书,实际上是一些网站本身由钓鱼网站伪装而来。报告表示,加密、免费、开放和自动化 ca 目前已经被用于创建无数个 ssl 证书,专门服务给钓鱼网站,包括最热门支付网站 paypal。
现在所面临的事实是,正是由于这些 ssl 证书是有效的,使得谷歌 chrome 和其他浏览器在对网站安全检查时,直接报告用户这些网站为安全网站。如今为了确保浏览器更加安全,chrome 和 firefox 已经默认将 http 标记为不安全的网站连接,而几乎所有 https 则认为是“安全”的网站。不过,https 并不总是等同于安全。
wordfence 表示,在 chrome 浏览器中,当地址栏一侧显示安全时,基本上表示浏览器与所访问网站之间的连接是加密的。“但这只代表为网站安装的证书人真正拥有此域名而已,并不意味着该域名受信任或安全,不是没有恶意或钓鱼的成分。”
wordfence 接着提到了一个最重要的关键点,那就是当 ca 发现一些网站有问题撤销安全证书之后,chrome 仍将此网站标记为“安全”,没有进行证书新状态的检测,也就是说 chrome 一旦检测过一次之后就默认未来的检测结果了,而不是重新检测,这是 chrome 本身最大的问题。
总之,wordfence 最后表示,无论使用什么浏览器,只要访问网站,就不能代表绝对的完全。