Chrome瀏覽器上顯示綠色標識,你就安全了嗎?
據相關數據顯示,在網路上有
超過50%的用戶使用的瀏覽器為Chrome瀏覽器。而長期使用Chrome瀏覽器的用戶其實都不難發現,每當你訪問使用SSL(也稱為HTTPS或TLS)的網站時,在URL地址欄的HTTPS旁就會顯示醒目的綠色「安全標識」。那麼Chrome瀏覽器中的「安全」標識,就真的意味著「安全」了嗎?下面,我將帶大家深入分析和探討這個問題,並提出我的解決方案。
以下是我們將要在這篇文章中深入探討內容的總結:
據我們調查發現,在許多假冒知名公司例如Google,微軟,蘋果等的釣魚網站,所使用的SSL證書來自多個認證機構(CA)的頒發。
Chrome瀏覽器只對SSL證書的有效性進行判斷,如果有效則直接將網站顯示為「安全」。
即使網站證書已被CA認證機構撤銷,Chrome瀏覽器仍將站點標識為「安全」。已撤銷」狀態僅在Chrome開發人員工具中可見。
已發布有效SSL證書的惡意網站,需要一段時間後才會被拉入Chrome的惡意網站列表中。安全瀏覽列表不該成為備份機制,這樣能更好的避免用戶免遭有效SSL證書惡意站點的侵害。
Chrome瀏覽器中「安全」標識的真正含義是什麼?
我們先來簡單了解下,一個網站獲取「證書」的實際過程。首先,網站擁有者向證書頒發機構(CA)提出證書申請,CA機構會驗證申請人是否為申請該站點的所有者,這個過程被稱為「域驗證」。而除了驗證域所有者是否擁有該網站之外,CA不會再做其他任何驗證操作。
因此,通過以上簡單的了解我們可以知道,當Chrome瀏覽器地址欄上顯示「安全」標識時,只是說明你當前瀏覽的該網站通信過程是加密的,但並不意味著該域名為「受信任」,「安全」,「非惡意」或其他任何內容。
LetsEncrypt向網路釣魚站點提供有效的SSL證書
通常情況下,CA證書機構不會向那些惡意明顯的假冒apple.com或microsoft.com的站點發放SSL證書。但我們發現,有一個稱為LetsEncrypt的新CA,會向所有申請使用SSL的網站免費發放證書。
LetsEncrypt的宗旨是,使用SSL自由的加密網路上的各種連接。不過,他們從不檢查網站所有者的身份是否為偽造的。因此,這樣帶來的結果就是,許多惡意的釣魚網站就這樣被堂而皇之的掛上了LetsEncrypt頒發的有效SSL證書,並在Chrome瀏覽器中顯示為「安全」。
以下是使用
LetsEncrypt
證書,並在Chrome中顯示為「安全」的網站示例。在撰寫本文時(2017年3月28日),該網站仍未被Chrome或Google安全瀏覽列表列為惡意站點,並依舊顯示為「安全」。
如上圖所示,Chrome將該惡意站點標識為「安全」。從該惡意站點的鏈接中我們也可以看出,攻擊者試圖假冒Google Play應用商店,並通過以「.com」的混淆名稱來迷惑用戶的判斷。這是一個典型的釣魚網站,用於釣取用戶的Google Play商店登錄憑證信息。
要查看有關該網站的證書信息,你可以通過開發者工具選項(在頁面點擊F12 鍵進入開發者工具),並選擇安全標籤(Security)進行查看。如下圖所示:
如果你點擊「查看證書」按鈕,你將會看到以下信息:
該證書被列為屬於geoduo.fr,但實際上也被許多其他網站在使用。在網路標籤中,你可以看到網站列表:(僅顯示前幾個)
所有列表中的這些網站,都使用相同的證書。這說明這些網站的所有者,可能是同一人。同時也說明了,該網站的託管服務提供商OVH SAS France,向該網站發放了免費證書,並將許多其他站點集中到同一SSL證書下。
因此在這種情況下,「安全」僅僅意味著你正在使用加密連接與惡意站點建立通話,而並不代表你所訪問的站點是「安全的」。
LetsEncrypt並不是個案
儘管目前許多釣魚網站,使用的CA都為LetsEncrypt所頒發,但是這類問題卻不僅限於LetsEncrypt。下圖所示的是一個假冒Apple.com的釣魚站點,用於竊取用戶的Apple登錄憑據:
在撰寫本文時(2017年3月28日),該網站仍未被Chrome或Google安全瀏覽列表列為惡意站點,並依舊顯示為「安全」。而證書的頒發機構則為Comodo。
即使CA撤銷證書,Chrome仍將其標識為「有效」和「安全」
讓我們來看看以上示例,Comodo證書的詳細信息。 首先,我們在Chrome中轉到「開發工具」,然後打開「安全」選項卡:
正如你所看到的,在安全概述中該站點被描述為「安全的」。我們點擊「查看證書」按鈕:
可以看到,這張證書實際已被發現問題的Comodo給「撤銷」,並將其標識為無效。
由於Chrome不會實時的檢查證書撤銷列表,因此它該證書在Chrome看來仍為有效和安全的證書,並會繼續在Chrome瀏覽器中將其標識為「安全」。
你不能依賴Chrome的Google安全瀏覽列表中的惡意網站警告
為了更進一步的研究,我們使用了一個名為
Censys.io
的服務來查找與特定模式匹配的網站證書。我們發現那些使用相同證書的域名,他們之間通常是相關的,並且域的持有者也可能為同一人。
下圖顯示了我們在研究中發現的,許多共享證書的網路釣魚域。由Chrome標記為惡意的域名呈紅色,其餘的都為綠色。它們都共享SSL一張證書:
放大圖片我們不難發現,有許多惡意站點都假冒了知名的公司例如google.com或microsoft.com等。其中一些已被Chrome瀏覽器列為惡意站點,而絕大多數卻仍被標記為「安全」。
值得慶幸的是,所有惡意域名最終都將會被Chrome瀏覽器列入「安全瀏覽列表」。以上列表的生成時間為3月27日上午,到了晚上我們發現一些原本為綠色「安全」標識的網站也出現在了「安全瀏覽列表」中,並被Chrome安全警告。但可以看出這需要一定的時間,而不是實時的。
Google的安全瀏覽項目雖然有效,但Chrome用戶卻不能完全依賴它來,可靠地識別惡意網站並發出安全警告。
那麼,我們應該如何保證我們的安全瀏覽呢?
在這種情況下,為了最大程度的避免遭受惡意站點的攻擊,我的建議是:用戶應在瀏覽網頁時仔細檢查URL地址欄,並仔細查看出現在該網站上的完整網站主機名。
例如你當前訪問的為FreeBuf官網,你的URL地址欄應該顯示為「http://www.freebuf.com/...
」。當你訪問任何需要交換敏感數據的網站時,請務必仔細檢查「https://」後和下一個正斜杠之前的完整主機名。如果你發現域名中帶有一些正常域名之外的字元,那麼我們可以初步判斷,該域名可能為假冒的釣魚站點。
Google Chrome可以做些什麼來提高安全性?
在今年早些時候,我們曾發布揭露了關於
的欺詐行為。谷歌對於我們的報告很快作出了回應,並積極的與我們取得了聯繫解決了該問題。在這一點上,我認為谷歌做的相當地好。
Chrome必須對證書吊銷列表進行實時的更新檢查,以修復上面出現的Comodo證書問題。但是,這樣做會對Chrome用戶造成一定的性能損失,並且由於訪問的網站在查找期間也會將數據發送到CA,因此也可能會對用戶的隱私帶來安全隱患。所以,這不是一個簡單的修復問題。
我認為谷歌安全瀏覽(GSB)團隊可以利用證書關係,實現自動化的識別其他惡意域名。這樣可以大大縮短在GSB上,列出惡意站點的時間。
同時,對於Chrome瀏覽器位置欄,我們建議Chrome團隊應該增加一個滑動比例的參考值,例如CA是誰,有多少個證書共享域,以及域的年齡等,這些信息可以合并估算出一個安全分數,而不僅僅是通過一個二進位的「安全」或「不安全」指示符來判斷網站的安全性。
LetsEncrypt可以做些什麼來提高安全性?
LetsEncrypt團隊必須開始在SSL證書應用程序上執行關鍵字搜索。這完全可以自動化實現,LetsEncrypt需要拒絕包含諸如「.apple.com」,「.paypal.com」,「.google.com」和其他常見的網路釣魚模式之類的字元串的證書。
他們可以實施審查程序,如果你的證書申請被拒絕,你可以申請一個令牌證明你需要一些與「.apple.com」的東西讓你免於檢查。
其他CA如Comodo呢?
在以上關於Comodo的例子中我們可以看到,雖然Comodo意識到了該網站為惡意站點並撤銷了其證書,但是Chrome卻並沒有第一時間檢測撤銷證書情況。
CA頒發證書的方式,已經有一段時間的爭論。Google已經在桌面上提出了一項建議
,以撤銷賽門鐵克根據CA的不良歷史記錄頒發證書的能力。該提案建議立即撤銷賽門鐵克發布EV(擴展驗證)證書的許可權,並逐漸不信任他們發布的常規SSL證書。
一直以來瀏覽器製造商和CA之間對於應該如何頒發證書,以及構成有效證書的條件是什麼存在著激烈分歧和討論。
總結
雖然Chrome瀏覽器位置欄的"安全"標識,並不一定意味著安全。但是作為我們普通用戶而言,通過查看位置欄的主機名在很大程度上,可以讓我們免受惡意站點的侵害。如下圖紅色下劃線部分所示:
同時請確保:
你可以在瀏覽器位置欄中查看到完整的主機名。
你可以正確的識別該主機名。
你的瀏覽器已提示當前為加密連接。 Chrome顯示為「Secure」字樣。
*參考來源 :wordfence,FB小編 secist 編譯,轉載請註明來自FreeBuf.COM
※你的Safari瀏覽器被「鎖」了嗎?千萬別付贖金,升級iOS 10.3即可
TAG:FreeBuf |
※Chrome瀏覽器HTTP網站顯示「不安全」,是怎麼回事?
※那只是投影玻璃,Light Field Lab談光場真全息顯示
※明基WiT ScreenBar,掛在顯示器上護眼燈
※iPhone 來電在 iPad 上同步顯示?這樣一招就搞定!
※ThinkVision最貴的顯示器長啥樣?
※那些絕版了的Hysteric Mini 太難買,才能顯示你的「超實力」!
※一台iPhone全家共享?蘋果新專利顯示:Siri可以幫幫你
※Google 新專利顯示,Pixel 4 可能真的無邊框
※Google新專利顯示,Pixel 4可能真的無邊框
※Apple Watch要「變臉」?圓形顯示屏了解一下
※「SpringMVC」上傳並顯示圖片
※Razer Core X Chroma:讓設備有一千餘萬種顏色顯示
※微軟Chromium版Edge瀏覽器預覽更新:支持中文菜單顯示
※三星「靠牆站」顯示器Space Monitor亮相,為你提供更簡潔桌面
※iPhone XR如何關閉通知顯示消息詳情?方法不難趕快get吧!
※三星 Space Monitor 體驗:這是一款可以讓極簡主義者「種草」的顯示器
※Windows 10的Your Phone再更新:可顯示安卓手機通知
※眾籌排行榜:Bigger than bigger 的顯示器終於找到了!完美~
※時問實答:如何讓FreeSync顯示器開啟G-Sync功能?
※Varjo的「Bionic」預示著VR顯示的未來