Chrome瀏覽器上顯示綠色標識，你就安全了嗎？

據相關數據顯示，在網路上有

超過50%的用戶使用的瀏覽器為Chrome瀏覽器。而長期使用Chrome瀏覽器的用戶其實都不難發現，每當你訪問使用SSL（也稱為HTTPS或TLS）的網站時，在URL地址欄的HTTPS旁就會顯示醒目的綠色「安全標識」。那麼Chrome瀏覽器中的「安全」標識，就真的意味著「安全」了嗎？下面，我將帶大家深入分析和探討這個問題，並提出我的解決方案。

以下是我們將要在這篇文章中深入探討內容的總結：

1. 
   

   據我們調查發現，在許多假冒知名公司例如Google，微軟，蘋果等的釣魚網站，所使用的SSL證書來自多個認證機構（CA）的頒發。



2. 
   

   Chrome瀏覽器只對SSL證書的有效性進行判斷，如果有效則直接將網站顯示為「安全」。



3. 
   

   即使網站證書已被CA認證機構撤銷，Chrome瀏覽器仍將站點標識為「安全」。已撤銷」狀態僅在Chrome開發人員工具中可見。



4. 
   

   已發布有效SSL證書的惡意網站，需要一段時間後才會被拉入Chrome的惡意網站列表中。安全瀏覽列表不該成為備份機制，這樣能更好的避免用戶免遭有效SSL證書惡意站點的侵害。

Chrome瀏覽器中「安全」標識的真正含義是什麼？

我們先來簡單了解下，一個網站獲取「證書」的實際過程。首先，網站擁有者向證書頒發機構（CA）提出證書申請，CA機構會驗證申請人是否為申請該站點的所有者，這個過程被稱為「域驗證」。而除了驗證域所有者是否擁有該網站之外，CA不會再做其他任何驗證操作。

因此，通過以上簡單的了解我們可以知道，當Chrome瀏覽器地址欄上顯示「安全」標識時，只是說明你當前瀏覽的該網站通信過程是加密的，但並不意味著該域名為「受信任」，「安全」，「非惡意」或其他任何內容。

LetsEncrypt向網路釣魚站點提供有效的SSL證書

通常情況下，CA證書機構不會向那些惡意明顯的假冒apple.com或microsoft.com的站點發放SSL證書。但我們發現，有一個稱為LetsEncrypt的新CA，會向所有申請使用SSL的網站免費發放證書。

LetsEncrypt的宗旨是，使用SSL自由的加密網路上的各種連接。不過，他們從不檢查網站所有者的身份是否為偽造的。因此，這樣帶來的結果就是，許多惡意的釣魚網站就這樣被堂而皇之的掛上了LetsEncrypt頒發的有效SSL證書，並在Chrome瀏覽器中顯示為「安全」。

以下是使用

LetsEncrypt

證書，並在Chrome中顯示為「安全」的網站示例。在撰寫本文時（2017年3月28日），該網站仍未被Chrome或Google安全瀏覽列表列為惡意站點，並依舊顯示為「安全」。

如上圖所示，Chrome將該惡意站點標識為「安全」。從該惡意站點的鏈接中我們也可以看出，攻擊者試圖假冒Google Play應用商店，並通過以「.com」的混淆名稱來迷惑用戶的判斷。這是一個典型的釣魚網站，用於釣取用戶的Google Play商店登錄憑證信息。

要查看有關該網站的證書信息，你可以通過開發者工具選項（在頁面點擊F12 鍵進入開發者工具），並選擇安全標籤（Security）進行查看。如下圖所示：

如果你點擊「查看證書」按鈕，你將會看到以下信息：

該證書被列為屬於geoduo.fr，但實際上也被許多其他網站在使用。在網路標籤中，你可以看到網站列表：（僅顯示前幾個）

所有列表中的這些網站，都使用相同的證書。這說明這些網站的所有者，可能是同一人。同時也說明了，該網站的託管服務提供商OVH SAS France，向該網站發放了免費證書，並將許多其他站點集中到同一SSL證書下。

因此在這種情況下，「安全」僅僅意味著你正在使用加密連接與惡意站點建立通話，而並不代表你所訪問的站點是「安全的」。

LetsEncrypt並不是個案

儘管目前許多釣魚網站，使用的CA都為LetsEncrypt所頒發，但是這類問題卻不僅限於LetsEncrypt。下圖所示的是一個假冒Apple.com的釣魚站點，用於竊取用戶的Apple登錄憑據：

在撰寫本文時（2017年3月28日），該網站仍未被Chrome或Google安全瀏覽列表列為惡意站點，並依舊顯示為「安全」。而證書的頒發機構則為Comodo。

即使CA撤銷證書，Chrome仍將其標識為「有效」和「安全」

讓我們來看看以上示例，Comodo證書的詳細信息。 首先，我們在Chrome中轉到「開發工具」，然後打開「安全」選項卡：

正如你所看到的，在安全概述中該站點被描述為「安全的」。我們點擊「查看證書」按鈕：

可以看到，這張證書實際已被發現問題的Comodo給「撤銷」，並將其標識為無效。

由於Chrome不會實時的檢查證書撤銷列表，因此它該證書在Chrome看來仍為有效和安全的證書，並會繼續在Chrome瀏覽器中將其標識為「安全」。

你不能依賴Chrome的Google安全瀏覽列表中的惡意網站警告

為了更進一步的研究，我們使用了一個名為

Censys.io

的服務來查找與特定模式匹配的網站證書。我們發現那些使用相同證書的域名，他們之間通常是相關的，並且域的持有者也可能為同一人。

下圖顯示了我們在研究中發現的，許多共享證書的網路釣魚域。由Chrome標記為惡意的域名呈紅色，其餘的都為綠色。它們都共享SSL一張證書：

放大圖片我們不難發現，有許多惡意站點都假冒了知名的公司例如google.com或microsoft.com等。其中一些已被Chrome瀏覽器列為惡意站點，而絕大多數卻仍被標記為「安全」。

值得慶幸的是，所有惡意域名最終都將會被Chrome瀏覽器列入「安全瀏覽列表」。以上列表的生成時間為3月27日上午，到了晚上我們發現一些原本為綠色「安全」標識的網站也出現在了「安全瀏覽列表」中，並被Chrome安全警告。但可以看出這需要一定的時間，而不是實時的。

Google的安全瀏覽項目雖然有效，但Chrome用戶卻不能完全依賴它來，可靠地識別惡意網站並發出安全警告。

那麼，我們應該如何保證我們的安全瀏覽呢？

在這種情況下，為了最大程度的避免遭受惡意站點的攻擊，我的建議是：用戶應在瀏覽網頁時仔細檢查URL地址欄，並仔細查看出現在該網站上的完整網站主機名。

例如你當前訪問的為FreeBuf官網，你的URL地址欄應該顯示為「http://www.freebuf.com/...

」。當你訪問任何需要交換敏感數據的網站時，請務必仔細檢查「https://」後和下一個正斜杠之前的完整主機名。如果你發現域名中帶有一些正常域名之外的字元，那麼我們可以初步判斷，該域名可能為假冒的釣魚站點。

Google Chrome可以做些什麼來提高安全性？

在今年早些時候，我們曾發布揭露了關於

的欺詐行為。谷歌對於我們的報告很快作出了回應，並積極的與我們取得了聯繫解決了該問題。在這一點上，我認為谷歌做的相當地好。

Chrome必須對證書吊銷列表進行實時的更新檢查，以修復上面出現的Comodo證書問題。但是，這樣做會對Chrome用戶造成一定的性能損失，並且由於訪問的網站在查找期間也會將數據發送到CA，因此也可能會對用戶的隱私帶來安全隱患。所以，這不是一個簡單的修復問題。

我認為谷歌安全瀏覽（GSB）團隊可以利用證書關係，實現自動化的識別其他惡意域名。這樣可以大大縮短在GSB上，列出惡意站點的時間。

同時，對於Chrome瀏覽器位置欄，我們建議Chrome團隊應該增加一個滑動比例的參考值，例如CA是誰，有多少個證書共享域，以及域的年齡等，這些信息可以合并估算出一個安全分數，而不僅僅是通過一個二進位的「安全」或「不安全」指示符來判斷網站的安全性。

LetsEncrypt可以做些什麼來提高安全性？

LetsEncrypt團隊必須開始在SSL證書應用程序上執行關鍵字搜索。這完全可以自動化實現，LetsEncrypt需要拒絕包含諸如「.apple.com」，「.paypal.com」，「.google.com」和其他常見的網路釣魚模式之類的字元串的證書。

他們可以實施審查程序，如果你的證書申請被拒絕，你可以申請一個令牌證明你需要一些與「.apple.com」的東西讓你免於檢查。

其他CA如Comodo呢？

在以上關於Comodo的例子中我們可以看到，雖然Comodo意識到了該網站為惡意站點並撤銷了其證書，但是Chrome卻並沒有第一時間檢測撤銷證書情況。

CA頒發證書的方式，已經有一段時間的爭論。Google已經在桌面上提出了一項建議

，以撤銷賽門鐵克根據CA的不良歷史記錄頒發證書的能力。該提案建議立即撤銷賽門鐵克發布EV（擴展驗證）證書的許可權，並逐漸不信任他們發布的常規SSL證書。

一直以來瀏覽器製造商和CA之間對於應該如何頒發證書，以及構成有效證書的條件是什麼存在著激烈分歧和討論。

總結

雖然Chrome瀏覽器位置欄的"安全"標識，並不一定意味著安全。但是作為我們普通用戶而言，通過查看位置欄的主機名在很大程度上，可以讓我們免受惡意站點的侵害。如下圖紅色下劃線部分所示：

同時請確保：

• 
  

  你可以在瀏覽器位置欄中查看到完整的主機名。



• 
  

  你可以正確的識別該主機名。



• 
  

  你的瀏覽器已提示當前為加密連接。 Chrome顯示為「Secure」字樣。

*參考來源 ：wordfence，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！