近日,安全公司 wordfence 发布的一份报告称,证书颁发机构 ca 颁发给某些网站安全证书,实际上是一些网站本身由钓鱼网站伪装而来。报告表示,加密、免费、开放和自动化 ca 目前已经被用于创建无数个 ssl 证书,专门服务给钓鱼网站,包括最热门支付网站 paypal。
现在所面临的事实是,正是由于这些 ssl 证书是有效的,使得谷歌 chrome 和其他浏览器在对网站安全检查时,直接报告用户这些网站为安全网站。如今为了确保浏览器更加安全,chrome 和 firefox 已经默认将 http 标记为不安全的网站连接,而几乎所有 https 则认为是“安全”的网站。不过,https 并不总是等同于安全。
wordfence 表示,在 chrome 浏览器中,当地址栏一侧显示安全时,基本上表示浏览器与所访问网站之间的连接是加密的。“但这只代表为网站安装的证书人真正拥有此域名而已,并不意味着该域名受信任或安全,不是没有恶意或钓鱼的成分。”
wordfence 接着提到了一个最重要的关键点,那就是当 ca 发现一些网站有问题撤销安全证书之后,chrome 仍将此网站标记为“安全”,没有进行证书新状态的检测,也就是说 chrome 一旦检测过一次之后就默认未来的检测结果了,而不是重新检测,这是 chrome 本身最大的问题。
总之,wordfence 最后表示,无论使用什么浏览器,只要访问网站,就不能代表绝对的完全。