你知道吗？Chrome浏览器标记安全的网站 其实未必安全

当你访问网站，看到地址栏旁边有把绿色的小锁和标记“安全”时，会不会潜意识里面觉得这个网站是安全的？就像这样：

然而事实情况是，上图中的网站就是一个钓鱼网站。

你可以看到，Chrome浏览器标记网站是“安全”的。但从网址看来，这是一个假冒谷歌 Play 商店的钓鱼网站。仔细观察，你会发现网站地址中“.com”后面存在一些蹊跷。

如果用 Chrome 浏览器的证书检查工具来查看该网站网站详情，会发现另一件事：有十多个网站在共用这个网站证书。

以上内容来自于网站安全公司 Wordfence 最近发布的一篇网站证书安全报告。报告表明，有大量冒充谷歌、微软、苹果等知名公司的钓鱼网站拥有多个机构颁发的SSL证书，当用户访问网站时，浏览器会将其标记为“安全”。

为什么会出现这种情况？

据雷锋网了解，出现这样的情况，主要由于网站安全证书的错误颁发导致。如今一些钓鱼网站也能通过谷歌的 https 网站安全测试，被标记为“安全网站”，正是因为他们得到了证书颁发机构的“加冕”。

浏览器和证书颁发机构（以下简称CA）是这样合作的：

网站的拥有者向CA机构证明自己是这个网站的拥有者，并且证明这个网站的合法性，交了钱（也有免费的网站证书）就可以获得证书了。

当用户用浏览器访问网站时，浏览器会验证该网站的证书的有效性，如果证书有效，浏览器就会将网站标记为“安全”。于是问题来了，如果证书颁发机构胡乱颁发证书，比如颁发证书给一个钓鱼网站，浏览器同样会显示“安全”。

安全公司Wordfence发现，知名的开源免费证书颁发机构 Let's Encrypt 错误地将一些网站证书颁发给了钓鱼网站，下面这个假冒苹果商店的钓鱼网站便是如此：

这种事情并不是第一次发生，前不久谷歌公司就因为错误颁发证书的事，开始封杀全球知名的证书颁发机构赛门铁克CA。（详见雷锋网报道：巨头怼巨头，谷歌封杀赛门铁克证书背后的恩怨情仇）

同时，Wordfence 表示目前还存在一个更严重的问题：

假如一个网站先获取了正确的证书，但是由于种种问题，证书被撤销，Chrome 浏览器仍然会显示该网站是安全的。

这并不是浏览器本身的问题，因为在Chrome的开发者工具中能够看见证书的撤销情况。这是整个证书撤销机制出现了问题，而这个问题在许多年前就已经被指出。

我们该怎么办？

结论就是，当你访问一个网站时，如果看到地址栏旁边有一把绿色小锁，只能说明该网站使用的证书是有效的，但并不意味着该网站一定是安全的。正确的做法是：

访问网站时，确保地址栏中最前面的主机名是官方的，或者最起码是你熟悉的。比方说当你访问雷锋网的时候，请确保最前面的主机名是：leiphone.com。