北京網站建設,北京SEO公司,知多工作室為SEO而生!

提交成功

請耐心等待,網站專業技術顧問將會聯系您

您可撥打電話17710376651

5秒自動關閉

我們為您提供

高品質網站建設

服務包含網站建設,網站優化,網站設計,網站維護,小程序制作,網站推廣

17710376651

網站首頁 聯系我們 電話咨詢 短信咨詢 QQ咨詢

Chrome 瀏覽器標記安全的網站,其實未必安全

編輯:??日期:2019-05-15 10:51:55

  Chrome 瀏覽器標記安全的網站,其實未必安全

  當你訪問網站,看到地址欄旁邊有把綠色的小鎖和標記“安全”時,會不會潛意識里面覺得這個網站是安全的?就像這樣:

  然而事實情況是,上圖中的網站就是一個釣魚網站。

  你可以看到,Chrome瀏覽器標記網站是“安全”的。但從網址看來,這是一個假冒谷歌 Play 商店的釣魚網站。仔細觀察,你會發現網站地址中“.com”后面存在一些蹊蹺。

  如果用 Chrome 瀏覽器的證書檢查工具來查看該網站網站詳情,會發現另一件事:有十多個網站在共用這個網站證書。

  以上內容來自于網站安全公司 Wordfence 最近發布的一篇網站證書安全報告。報告表明,有大量冒充谷歌、微軟、蘋果等知名公司的釣魚網站擁有多個機構頒發的SSL證書,當用戶訪問網站時,瀏覽器會將其標記為“安全”。

  為什么會出現這種情況?

  據小編了解,出現這樣的情況,主要由于網站安全證書的錯誤頒發導致。如今一些釣魚網站也能通過谷歌的 https 網站安全測試,被標記為“安全網站”,正是因為他們得到了證書頒發機構的“加冕”。

  瀏覽器和證書頒發機構(以下簡稱CA)是這樣合作的:

  網站的擁有者向CA機構證明自己是這個網站的擁有者,并且證明這個網站的合法性,交了錢(也有免費的網站證書)就可以獲得證書了。

  當用戶用瀏覽器訪問網站時,瀏覽器會驗證該網站的證書的有效性,如果證書有效,瀏覽器就會將網站標記為“安全”。于是問題來了,如果證書頒發機構胡亂頒發證書,比如頒發證書給一個釣魚網站,瀏覽器同樣會顯示“安全”。

  這種事情并不是第一次發生,前不久谷歌公司就因為錯誤頒發證書的事,開始封殺全球知名的證書頒發機構賽門鐵克CA。(詳見小編()報道:巨頭懟巨頭,谷歌封殺賽門鐵克證書背后的恩怨情仇)

  同時,Wordfence 表示目前還存在一個更嚴重的問題:

  假如一個網站先獲取了正確的證書,但是由于種種問題,證書被撤銷,Chrome 瀏覽器仍然會顯示該網站是安全的。

  這并不是瀏覽器本身的問題,因為在Chrome的開發者工具中能夠看見證書的撤銷情況。這是整個證書撤銷機制出現了問題,而這個問題在許多年前就已經被指出。

  我們該怎么辦?

  結論就是,當你訪問一個網站時,如果看到地址欄旁邊有一把綠色小鎖,只能說明該網站使用的證書是有效的,但并不意味著該網站一定是安全的。正確的做法是:

  訪問網站時,確保地址欄中最前面的主機名是官方的,或者最起碼是你熟悉的。

 

 

上一篇:.ai域名可能成為下一個.com? 下一篇:為何SEO大神都不敢經常改動KTD標簽,原因都在這

知多工作室,為建站而生! 網站建設 And 建站套餐

pt电子游戏累积大奖