Chrome存大問題 檢查網站「安全」實際不一定安全

互聯網作者：小言來源：威鋒網

上個月底曾有報道稱，微軟的 Edge 瀏覽器在 Pwn2Own 2017 世界黑客大賽期間連續被黑五次，然而谷歌的 Chrome 在規定時間內無法入侵，成為最牢不可破的網路瀏覽器產品。不過，這就表示 Chrome 真的堅不可摧了嗎？並非如此。因為儘管 Chrome 地址欄一側能夠提供網站安全檢測，但其實並不意味著訪問的網站絕對完全，畢竟網站的 SSL 證書都是由 CA 頒發。

近日，安全公司 WordFence 發布的一份報告稱，證書頒發機構 CA 頒發給某些網站安全證書，實際上是一些網站本身由釣魚網站偽裝而來。報告表示，加密、免費、開放和自動化 CA 目前已經被用於創建無數個 SSL 證書，專門服務給釣魚網站，包括最熱門支付網站 PayPal。

現在所面臨的事實是，正是由於這些 SSL 證書是有效的，使得谷歌 Chrome 和其他瀏覽器在對網站安全檢查時，直接報告用戶這些網站為安全網站。如今為了確保瀏覽器更加安全，Chrome 和 firefox 已經默認將 http 標記為不安全的網站連接，而幾乎所有 https 則認為是「安全」的網站。不過，https 並不總是等同於安全。

WordFence 表示，在 Chrome 瀏覽器中，當地址欄一側顯示安全時，基本上表示瀏覽器與所訪問網站之間的連接是加密的。「但這隻代表為網站安裝的證書人真正擁有此域名而已，並不意味著該域名受信任或安全，不是沒有惡意或釣魚的成分。」

WordFence 接著提到了一個最重要的關鍵點，那就是當 CA 發現一些網站有問題撤銷安全證書之後，Chrome 仍將此網站標記為「安全」，沒有進行證書新狀態的檢測，也就是說 Chrome 一旦檢測過一次之後就默認未來的檢測結果了，而不是重新檢測，這是 Chrome 本身最大的問題。

總之，WordFence 最後表示，無論使用什麼瀏覽器，只要訪問網站，就不能代表絕對的完全。