据相关数据显示,在网络上有超过50%的用户使用的浏览器为Chrome浏览器。而长期使用Chrome浏览器的用户其实都不难发现,每当你访问使用SSL(也称为HTTPS或TLS)的网站时,在URL地址栏的HTTPS旁就会显示醒目的绿色"安全标识"。那么Chrome浏览器中的"安全"标识,就真的意味着"安全"了吗?下面,我将带大家深入分析和探讨这个问题,并提出我的解决方案。
以下是我们将要在这篇文章中深入探讨内容的总结:
- 据我们调查发现,在许多假冒知名公司例如Google,微软,苹果等的钓鱼网站,所使用的SSL证书来自多个认证机构(CA)的颁发。
- Chrome浏览器只对SSL证书的有效性进行判断,如果有效则直接将网站显示为"安全"。
- 即使网站证书已被CA认证机构撤销,Chrome浏览器仍将站点标识为"安全"。已撤销"状态仅在Chrome开发人员工具中可见。
- 已发布有效SSL证书的恶意网站,需要一段时间后才会被拉入Chrome的恶意网站列表中。安全浏览列表不该成为备份机制,这样能更好的避免用户免遭有效SSL证书恶意站点的侵害。
Chrome浏览器中"安全"标识的真正含义是什么?
我们先来简单了解下,一个网站获取"证书"的实际过程。首先,网站拥有者向证书颁发机构(CA)提出证书申请,CA机构会验证申请人是否为申请该站点的所有者,这个过程被称为"域验证"。而除了验证域所有者是否拥有该网站之外,CA不会再做其他任何验证操作。
因此,通过以上简单的了解我们可以知道,当Chrome浏览器地址栏上显示"安全"标识时,只是说明你当前浏览的该网站通信过程是加密的,但并不意味着该域名为"受信任","安全","非恶意"或其他任何内容。
LetsEncrypt向网络钓鱼站点提供有效的SSL证书
通常情况下,CA证书机构不会向那些恶意明显的假冒apple.com或microsoft.com的站点发放SSL证书。但我们发现,有一个称为LetsEncrypt的新CA,会向所有申请使用SSL的网站免费发放证书。
LetsEncrypt的宗旨是,使用SSL自由的加密网络上的各种连接。不过,他们从不检查网站所有者的身份是否为伪造的。因此,这样带来的结果就是,许多恶意的钓鱼网站就这样被堂而皇之的挂上了LetsEncrypt颁发的有效SSL证书,并在Chrome浏览器中显示为"安全"。
以下是使用LetsEncrypt证书,并在Chrome中显示为"安全"的网站示例。在撰写本文时(2017年3月28日),该网站仍未被Chrome或Google安全浏览列表列为恶意站点,并依旧显示为"安全"。
如上图所示,Chrome将该恶意站点标识为"安全"。从该恶意站点的链接中我们也可以看出,攻击者试图假冒Google Play应用商店,并通过以".com"的混淆名称来迷惑用户的判断。这是一个典型的钓鱼网站,用于钓取用户的Google Play商店登录凭证信息。
要查看有关该网站的证书信息,你可以通过开发者工具选项(在页面点击F12 键进入开发者工具),并选择安全标签(Security)进行查看。如下图所示:
如果你点击"查看证书"按钮,你将会看到以下信息:
该证书被列为属于geoduo.fr,但实际上也被许多其他网站在使用。在网络标签中,你可以看到网站列表:(仅显示前几个)
所有列表中的这些网站,都使用相同的证书。这说明这些网站的所有者,可能是同一人。同时也说明了,该网站的托管服务提供商OVH SAS France,向该网站发放了免费证书,并将许多其他站点集中到同一SSL证书下。
因此在这种情况下,"安全"仅仅意味着你正在使用加密连接与恶意站点建立通话,而并不代表你所访问的站点是"安全的"。
LetsEncrypt并不是个案
尽管目前许多钓鱼网站,使用的CA都为LetsEncrypt所颁发,但是这类问题却不仅限于LetsEncrypt。下图所示的是一个假冒Apple.com的钓鱼站点,用于窃取用户的Apple登录凭据:
在撰写本文时(2017年3月28日),该网站仍未被Chrome或Google安全浏览列表列为恶意站点,并依旧显示为"安全"。而证书的颁发机构则为Comodo。
即使CA撤销证书,Chrome仍将其标识为"有效"和"安全"
让我们来看看以上示例,Comodo证书的详细信息。 首先,我们在Chrome中转到"开发工具",然后打开"安全"选项卡:
正如你所看到的,在安全概述中该站点被描述为"安全的"。我们点击"查看证书"按钮:
可以看到,这张证书实际已被发现问题的Comodo给"撤销",并将其标识为无效。
由于Chrome不会实时的检查证书撤销列表,因此它该证书在Chrome看来仍为有效和安全的证书,并会继续在Chrome浏览器中将其标识为"安全"。
你不能依赖Chrome的Google安全浏览列表中的恶意网站警告
为了更进一步的研究,我们使用了一个名为 Censys.io的服务来查找与特定模式匹配的网站证书。我们发现那些使用相同证书的域名,他们之间通常是相关的,并且域的持有者也可能为同一人。
下图显示了我们在研究中发现的,许多共享证书的网络钓鱼域。由Chrome标记为恶意的域名呈红色,其余的都为绿色。它们都共享SSL一张证书:
放大图片我们不难发现,有许多恶意站点都假冒了知名的公司例如google.com或microsoft.com等。其中一些已被Chrome浏览器列为恶意站点,而绝大多数却仍被标记为"安全"。
值得庆幸的是,所有恶意域名最终都将会被Chrome浏览器列入"安全浏览列表"。以上列表的生成时间为3月27日上午,到了晚上我们发现一些原本为绿色"安全"标识的网站也出现在了"安全浏览列表"中,并被Chrome安全警告。但可以看出这需要一定的时间,而不是实时的。
Google的安全浏览项目虽然有效,但Chrome用户却不能完全依赖它来,可靠地识别恶意网站并发出安全警告。
那么,我们应该如何保证我们的安全浏览呢?
在这种情况下,为了最大程度的避免遭受恶意站点的攻击,我的建议是:用户应在浏览网页时仔细检查URL地址栏,并仔细查看出现在该网站上的完整网站主机名。
例如你当前访问的为FreeBuf官网,你的URL地址栏应该显示为"http://www.freebuf.com/..."。当你访问任何需要交换敏感数据的网站时,请务必仔细检查"https://"后和下一个正斜杠之前的完整主机名。如果你发现域名中带有一些正常域名之外的字符,那么我们可以初步判断,该域名可能为假冒的钓鱼站点。
Google Chrome可以做些什么来提高安全性?
在今年早些时候,我们曾发布揭露了关于Gmail网络钓鱼的欺诈行为。谷歌对于我们的报告很快作出了回应,并积极的与我们取得了联系解决了该问题。在这一点上,我认为谷歌做的相当地好。
Chrome必须对证书吊销列表进行实时的更新检查,以修复上面出现的Comodo证书问题。但是,这样做会对Chrome用户造成一定的性能损失,并且由于访问的网站在查找期间也会将数据发送到CA,因此也可能会对用户的隐私带来安全隐患。所以,这不是一个简单的修复问题。
我认为谷歌安全浏览(GSB)团队可以利用证书关系,实现自动化的识别其他恶意域名。这样可以大大缩短在GSB上,列出恶意站点的时间。
同时,对于Chrome浏览器位置栏,我们建议Chrome团队应该增加一个滑动比例的参考值,例如CA是谁,有多少个证书共享域,以及域的年龄等,这些信息可以合并估算出一个安全分数,而不仅仅是通过一个二进制的"安全"或"不安全"指示符来判断网站的安全性。
LetsEncrypt可以做些什么来提高安全性?
LetsEncrypt团队必须开始在SSL证书应用程序上执行关键字搜索。这完全可以自动化实现,LetsEncrypt需要拒绝包含诸如".apple.com",".paypal.com",".google.com"和其他常见的网络钓鱼模式之类的字符串的证书。
他们可以实施审查程序,如果你的证书申请被拒绝,你可以申请一个令牌证明你需要一些与".apple.com"的东西让你免于检查。
其他CA如Comodo呢?
在以上关于Comodo的例子中我们可以看到,虽然Comodo意识到了该网站为恶意站点并撤销了其证书,但是Chrome却并没有第一时间检测撤销证书情况。
CA颁发证书的方式,已经有一段时间的争论。Google已经在桌面上提出了一项建议,以撤销赛门铁克根据CA的不良历史记录颁发证书的能力。该提案建议立即撤销赛门铁克发布EV(扩展验证)证书的权限,并逐渐不信任他们发布的常规SSL证书。
一直以来浏览器制造商和CA之间对于应该如何颁发证书,以及构成有效证书的条件是什么存在着激烈分歧和讨论。
总结
虽然Chrome浏览器位置栏的"安全"标识,并不一定意味着安全。但是作为我们普通用户而言,通过查看位置栏的主机名在很大程度上,可以让我们免受恶意站点的侵害。如下图红色下划线部分所示:
同时请确保:
- 你可以在浏览器位置栏中查看到完整的主机名。
- 你可以正确的识别该主机名。
- 你的浏览器已提示当前为加密连接。 Chrome显示为"Secure"字样。
*参考来源 :wordfence,FB小编 secist 编译,转载自FreeBuf(FreeBuf.COM)
虽然使用了HTTPS后网站那个绿色图标看着很高大上,不过我还是不决定给本站添加HTTPS,至于原因,除了此文中所说的那些以为,还有2点。
1:启用HTTPS后因为第一次请求的交互和301导致网站速度变慢。
2:启用百度分享并不支持HTTPS,落后的百度,差评(很早就有很多人给他们反映这个问题了.),虽然将百度分享的文件全部下载到本地可以解决这个问题(解决百度分享不支持https的问题),不过解决后百度分享却无法抓取图片了,详情可以去我的另一个站-懒人网安看看,2个站在同一个服务器,可以对比下看看区别就知道了。
偷偷告诉你们,其实最开始的时候,我是准备用https的,连证书和各方面配置都弄好了,可惜后面还是把配置注释掉了。。