你知道吗？Chrome浏览器标记安全的网站 其实未必安全

当你访问一个网站，看到地址栏旁边有一把绿色的小锁和“安全”标记时，你可能会下意识地认为这个网站是安全的。然而，事实可能并非如此。看看下面的例子：

上图中的网站实际上是一个钓鱼网站。尽管Chrome浏览器将其标记为“安全”，但仔细观察网址，你会发现这是假冒的谷歌Play商店，网址中的“.com”后有些可疑之处。

如果你使用Chrome浏览器的证书检查工具查看该网站的详细信息，会发现一个令人震惊的事实：有十多个网站共用这个网站证书。

这些信息来自于网站安全公司Wordfence最近发布的一份关于网站证书安全的报告。报告显示，有大量假冒谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书，当用户访问这些网站时，浏览器会将其标记为“安全”。

为什么会出现这种情况呢？

据了解，这种情况主要是由于网站安全证书的错误颁发所导致的。如今，一些钓鱼网站也能通过谷歌的https网站安全测试，被标记为“安全网站”，这是因为它们获得了证书颁发机构的“认证”。

浏览器和证书颁发机构（以下简称CA）是如何合作的呢？

网站的拥有者向CA机构证明自己是该网站的合法拥有者，并支付费用（也有免费的证书）后，就可以获得证书。

当用户通过浏览器访问网站时，浏览器会验证该网站证书的有效性，如果证书有效，浏览器就会将网站标记为“安全”。问题在于，如果证书颁发机构错误地颁发证书给钓鱼网站，浏览器仍然会显示“安全”。

安全公司Wordfence发现，著名的开源免费证书颁发机构Let's Encrypt错误地将一些证书颁发给了钓鱼网站，例如下面的假冒苹果商店的钓鱼网站：

这种情况并不是首次发生。前不久，谷歌公司就因为错误颁发证书的事件，开始封杀全球知名的证书颁发机构赛门铁克CA。（详见报道：巨头之间的较量，谷歌封杀赛门铁克证书的背后故事）

同时，Wordfence指出，目前还存在一个更严重的问题：

如果一个网站先获取了正确的证书，但由于某些原因证书被撤销，Chrome浏览器仍然会显示该网站是安全的。

这并不是浏览器本身的问题，因为在Chrome的开发者工具中可以看到证书的撤销情况。这是整个证书撤销机制出现了问题，而这个问题在许多年前就已被指出。

那么，我们该怎么办呢？

结论是，当你访问一个网站时，看到地址栏旁边有一把绿色小锁，只能说明该网站使用的证书是有效的，但并不意味着该网站一定是安全的。正确的做法是：

访问网站时，确保地址栏中最前面的主机名是官方的，或者至少是你熟悉的。例如，当你访问雷锋网时，请确保最前面的主机名是：leiphone.com。

以上就是你知道吗？Chrome浏览器标记安全的网站 其实未必安全的详细内容，更多请关注php中文网其它相关文章！