Chrome浏览器上显示绿色标识，你就安全了吗？

Chrome浏览器上显示绿色标识，你就安全了吗？据相关数据显示，在网络上有超过 50% 的用户使用的浏览器为 Chrome 浏览器。而长期使用 Chrome 浏览器的用户其实都不难发现，每当你访问使用 SSL（也称为 HTTPS 或 TLS）的网站时，在 URL 地址栏的 HTTPS 旁就会显示醒目的绿色“安全标识”。那么 Chrome 浏览器中的“安全”标识，就真的意味着“安全”了吗？下面，我将带大家深入分析和探讨这个问题，并提出我的解决方案。

以下是我们将要在这篇文章中深入探讨内容的总结：

据我们调查发现，在许多假冒知名公司例如 Google，微软，苹果等的钓鱼网站，所使用的 SSL 证书来自多个认证机构（CA）的颁发。 Chrome 浏览器只对 SSL 证书的有效性进行判断，如果有效则直接将网站显示为“安全”。 即使网站证书已被 CA 认证机构撤销，Chrome 浏览器仍将站点标识为“安全”。已撤销”状态仅在 Chrome 开发人员工具中可见。 已发布有效 SSL 证书的恶意网站，需要一段时间后才会被拉入 Chrome 的恶意网站列表中。安全浏览列表不该成为备份机制，这样能更好的避免用户免遭有效 SSL 证书恶意站点的侵害。

Chrome 浏览器中“安全”标识的真正含义是什么？

我们先来简单了解下，一个网站获取“证书”的实际过程。首先，网站拥有者向证书颁发机构（CA）提出证书申请，CA 机构会验证申请人是否为申请该站点的所有者，这个过程被称为“域验证”。而除了验证域所有者是否拥有该网站之外，CA 不会再做其他任何验证操作。

因此，通过以上简单的了解我们可以知道，当 Chrome 浏览器地址栏上显示“安全”标识时，只是说明你当前浏览的该网站通信过程是加密的，但并不意味着该域名为“受信任”，“安全”，“非恶意”或其他任何内容。

LetsEncrypt 向网络钓鱼站点提供有效的 SSL 证书

通常情况下，CA 证书机构不会向那些恶意明显的假冒 apple.com 或 microsoft.com 的站点发放 SSL 证书。但我们发现，有一个称为 LetsEncrypt 的新 CA，会向所有申请使用 SSL 的网站免费发放证书。

LetsEncrypt 的宗旨是，使用 SSL 自由的加密网络上的各种连接。不过，他们从不检查网站所有者的身份是否为伪造的。因此，这样带来的结果就是，许多恶意的钓鱼网站就这样被堂而皇之的挂上了 LetsEncrypt 颁发的有效 SSL 证书，并在 Chrome 浏览器中显示为“安全”。

以下是使用 LetsEncrypt 证书，并在 Chrome 中显示为“安全”的网站示例。在撰写本文时（2017 年 3 月 28 日），该网站仍未被 Chrome 或 Google 安全浏览列表列为恶意站点，并依旧显示为“安全”。

如上图所示，Chrome 将该恶意站点标识为“安全”。从该恶意站点的链接中我们也可以看出，攻击者试图假冒 Google Play 应用商店，并通过以“.com”的混淆名称来迷惑用户的判断。这是一个典型的钓鱼网站，用于钓取用户的 Google Play 商店登录凭证信息。

要查看有关该网站的证书信息，你可以通过开发者工具选项（在页面点击 F12 键进入开发者工具），并选择安全标签（Security）进行查看。如下图所示：

如果你点击“查看证书”按钮，你将会看到以下信息：

该证书被列为属于 geoduo.fr，但实际上也被许多其他网站在使用。在网络标签中，你可以看到网站列表：（仅显示前几个）

所有列表中的这些网站，都使用相同的证书。这说明这些网站的所有者，可能是同一人。同时也说明了，该网站的托管服务提供商 OVH SAS France，向该网站发放了免费证书，并将许多其他站点集中到同一 SSL 证书下。

因此在这种情况下，“安全”仅仅意味着你正在使用加密连接与恶意站点建立通话，而并不代表你所访问的站点是“安全的”。

LetsEncrypt 并不是个案

尽管目前许多钓鱼网站，使用的 CA 都为 LetsEncrypt 所颁发，但是这类问题却不仅限于 LetsEncrypt。下图所示的是一个假冒 Apple.com 的钓鱼站点，用于窃取用户的 Apple 登录凭据：

在撰写本文时（2017 年 3 月 28 日），该网站仍未被 Chrome 或 Google 安全浏览列表列为恶意站点，并依旧显示为“安全”。而证书的颁发机构则为 Comodo。

即使 CA 撤销证书，Chrome 仍将其标识为“有效”和“安全”

让我们来看看以上示例，Comodo 证书的详细信息。 首先，我们在 Chrome 中转到“开发工具”，然后打开“安全”选项卡：

正如你所看到的，在安全概述中该站点被描述为“安全的”。我们点击“查看证书”按钮：

可以看到，这张证书实际已被发现问题的 Comodo 给“撤销”，并将其标识为无效。

由于 Chrome 不会实时的检查证书撤销列表，因此它该证书在 Chrome 看来仍为有效和安全的证书，并会继续在 Chrome 浏览器中将其标识为“安全”。

你不能依赖 Chrome 的 Google 安全浏览列表中的恶意网站警告

为了更进一步的研究，我们使用了一个名为Censys.io 的服务来查找与特定模式匹配的网站证书。我们发现那些使用相同证书的域名，他们之间通常是相关的，并且域的持有者也可能为同一人。

下图显示了我们在研究中发现的，许多共享证书的网络钓鱼域。由 Chrome 标记为恶意的域名呈红色，其余的都为绿色。它们都共享 SSL 一张证书：

放大图片我们不难发现，有许多恶意站点都假冒了知名的公司例如 google.com 或 microsoft.com 等。其中一些已被 Chrome 浏览器列为恶意站点，而绝大多数却仍被标记为“安全”。

值得庆幸的是，所有恶意域名最终都将会被 Chrome 浏览器列入“安全浏览列表”。以上列表的生成时间为 3 月 27 日上午，到了晚上我们发现一些原本为绿色“安全”标识的网站也出现在了“安全浏览列表”中，并被 Chrome 安全警告。但可以看出这需要一定的时间，而不是实时的。

Google 的安全浏览项目虽然有效，但 Chrome 用户却不能完全依赖它来，可靠地识别恶意网站并发出安全警告。

那么，我们应该如何保证我们的安全浏览呢？

在这种情况下，为了最大程度的避免遭受恶意站点的攻击，我的建议是：用户应在浏览网页时仔细检查 URL 地址栏，并仔细查看出现在该网站上的完整网站主机名。

例如你当前访问的为 FreeBuf 官网，你的 URL 地址栏应该显示为“http://www.freebuf.com/…”。当你访问任何需要交换敏感数据的网站时，请务必仔细检查“https://”后和下一个正斜杠之前的完整主机名。如果你发现域名中带有一些正常域名之外的字符，那么我们可以初步判断，该域名可能为假冒的钓鱼站点。

Google Chrome 可以做些什么来提高安全性？

在今年早些时候，我们曾发布揭露了关于 Gmail 网络钓鱼的欺诈行为。谷歌对于我们的报告很快作出了回应，并积极的与我们取得了联系解决了该问题。在这一点上，我认为谷歌做的相当地好。

Chrome 必须对证书吊销列表进行实时的更新检查，以修复上面出现的 Comodo 证书问题。但是，这样做会对 Chrome 用户造成一定的性能损失，并且由于访问的网站在查找期间也会将数据发送到 CA，因此也可能会对用户的隐私带来安全隐患。所以，这不是一个简单的修复问题。

我认为谷歌安全浏览（GSB）团队可以利用证书关系，实现自动化的识别其他恶意域名。这样可以大大缩短在 GSB 上，列出恶意站点的时间。

同时，对于 Chrome 浏览器位置栏，我们建议 Chrome 团队应该增加一个滑动比例的参考值，例如 CA 是谁，有多少个证书共享域，以及域的年龄等，这些信息可以合并估算出一个安全分数，而不仅仅是通过一个二进制的“安全”或“不安全”指示符来判断网站的安全性。

LetsEncrypt 可以做些什么来提高安全性？

LetsEncrypt 团队必须开始在 SSL 证书应用程序上执行关键字搜索。这完全可以自动化实现，LetsEncrypt 需要拒绝包含诸如“.apple.com”，“.paypal.com”，“.google.com”和其他常见的网络钓鱼模式之类的字符串的证书。

他们可以实施审查程序，如果你的证书申请被拒绝，你可以申请一个令牌证明你需要一些与“.apple.com”的东西让你免于检查。

其他 CA 如 Comodo 呢？

在以上关于 Comodo 的例子中我们可以看到，虽然 Comodo 意识到了该网站为恶意站点并撤销了其证书，但是 Chrome 却并没有第一时间检测撤销证书情况。

CA 颁发证书的方式，已经有一段时间的争论。Google 已经在桌面上提出了一项建议，以撤销赛门铁克根据 CA 的不良历史记录颁发证书的能力。该提案建议立即撤销赛门铁克发布 EV（扩展验证）证书的权限，并逐渐不信任他们发布的常规 SSL 证书。

一直以来浏览器制造商和 CA 之间对于应该如何颁发证书，以及构成有效证书的条件是什么存在着激烈分歧和讨论。

总结

虽然 Chrome 浏览器位置栏的”安全”标识，并不一定意味着安全。但是作为我们普通用户而言，通过查看位置栏的主机名在很大程度上，可以让我们免受恶意站点的侵害。如下图红色下划线部分所示：

同时请确保：