导语:SSL证书越来越廉价,许多企业提供给用户免费的SSL证书,但并不去验证是谁在用这些证书。研究人员发现有钓鱼网站和恶意网站也在使用SSL证书,所以绿色的HTTPS图标并不一定安全。
大家都知道,当商品大规模出售的时候,价格就会降低。这可能不是经济学的第一法则,但是是可应用的法则之一。其中一个推论是如果没有生产成本,而且不需要原材料,那么商品的价格会降到0。这些商品就会作为免费的礼物来促销其他商品,尤其是比较昂贵的商品。
SSL证书正是如此。许多公司提供免费的web主机包服务,其中一些公司并不检查购买者的身份。也就是说,服务提供商并不在意是谁买了这些包,真正在意的是谁支付了这些账单。
当用户看到网站上绿色的锁时,尤其是在进行金融交易时,他们会更加相信这些网站的真实性。
定义
协议
Hypertext Transfer Protocol Secure (HTTPS)是HTTP协议的一个变种,给传输的数据增加了一个安全层,这个安全层是通过SSL或TLS实现的。
Secure Sockets Layer (SSL)是来确保不安全网络中网络应用客户端和服务器的安全连接的网络协议。
在SSL不支持的情况下,Transport Layer Security (TLS)会取代SSL,但TLS与SSL 3.0是兼容的。
TLS是在两个通信的应用之间提供隐私和数据完整性的计算机网络协议,用于需要在网络上安全地交换数据的web浏览器和其他应用。
绿色锁图标
那这个绿色的锁是什么意思呢?这个绿色锁意味着来自和发往该网站的数据是加密的。证书提供商(Certificate Authority, CA)提供的证书用来建立加密。听起来不错,但当用户看到这个锁的时候,唯一可以确定的是用户的计算机连接到了地址栏中的这个站点。
下面我们解释一下,右击这个锁可以看到关于安全连接的一些信息。
可以看到,我们与属于PayPal公司的域名paypal.com建立了安全的连接,其中CA是symantec。
下面比较一下一个已知的PayPal钓鱼站点的CA:
点击绿色的锁,可以看到下面的详情:
从浏览器的地址栏我们是看不到网站是否连接到PayPal的。从上面的信息我们还可以钓鱼网站使用的是来自一个名为Let’s Encrypt的CA签发的免费证书。
从这个例子中,我们可以看出浏览器中的地址是明显不同的,但实际的钓鱼网站使用的地址更加逼真,也和合法站点的域名更加相像。PayPal也注册了一些与其官方网站相似的域名来保护消费者。
所以,单单那个绿色的锁标志是不能证明什么的。事实上,每个月有上百万个新的钓鱼网站产生。除了这些钓鱼网站外,还有很多的普通网站产生,而且证书是免费的。因此,服务提供商不能可能去检查每个新的网站。即使去检查,也没法保证网站管理员不去做更改。
所以,用户随时有可能会在一个钓鱼网站上去输入自己的凭证。
新方法
其实,不需要特别恐慌,因为有新的办法。一些浏览器会对一些已知的钓鱼和恶意网站发出告警。这是一种基于黑名单的办法,所以,如果你访问的恶意网站还没有加入黑名单,那么就不会受到告警。
一些安全软件可以基于黑名单和行为分析去拦截已知的钓鱼和恶意网址。
这些证书只有经过扩展检查之后才会签发,这就叫做EV(Extended Validation)证书。下面我们看一下这两者的区别:
该图的下方是原始的PayPal的证书,是EV证书。顶部的是常规的域名验证(DV)证书。可以看出EV证书和DV证书的显示是不同的,而且不同的浏览器展示的方式也有所不同。
检查,检查,再检查
因为HTTPS和TLS变得越来越普遍和便宜,钓鱼攻击者也开始在他们的伪造的网站上去使用绿色的锁了。因此,用户需要去查看绿色的锁之后的证书的种类和详情。
最好的办法是在传输个人和经济数据时,使用剪贴复制而不是直接点击邮件中的链接。需要输入个人信息的网站进行如下检查:
· 地址栏是否有绿色的锁?
· 地址栏中的地址是不是我们要访问的?
· 是否有EV证书?
只有当以上三点都满足时,才说明该站点上属于你需要访问和支付的公司的域名,然后就可以放心地支付,输入凭证和个人数据了。