此安全非彼安全

我们知道,很多浏览器,如Google Chrome在浏览启用并正确配置SSL/TLS的网站时,在地址栏中会有『安全』字样,如下图所示——


然而,网民所认为的安全,和浏览器所认为的安全似乎并不相同

  • 浏览器对『安全』的定义:浏览器与服务器建立的连接是安全的。没有人能够冒充服务器(和浏览器,在启用双向认证时)的身份;没有人能篡改通信内容而不被发现;没有人能知晓通信内容……
  • 用户对『安全』的定义:我访问的是我想去的网站,我输入的登陆凭据不会泄露,我的财产是安全的

显然前者是后者的必要条件之一——换言之就是必要不充分条件。


今年三月,有新闻指出免费且自动化签发证书的CA,Let's Encrypt签发了超14000张域名包含"Paypal"的证书[1],它们大多被用于搭建『十分逼真的钓鱼网站』;Let's Encrypt的官方论坛也有人报告这种情形[2]

我们知道,钓鱼网站模仿真是网站的域名,往往靠两种手段

  1. 对外形相似的字母/数字进行替换,如小写l、大写I以及数字1,在有些字体中很相似.
  2. 用正规网站的域名充当二级域名来掩人耳目,如www.apple.com.cn.phishing.me

但是这两种都"过时"了,骗子可能会利用域名中包含UniCode来做到"高仿"[3][4],原理是Unicode中不同语言各有一套不同的内码,而不同语言又有很多字形相近的字符。比如a作为英语和法语字符时有不同的Unicode码,于是骗子便可以利用这个去注册一个高仿的apple.com……

如果骗子的高仿域名有SSL证书,这样浏览器的地址栏就会显示『安全』字样,那这层层误导会带来多么严重的后果呢……


^ [1].Let's Encrypt Has Issued Certificates to Over 14,000 PayPal Phishing Sites
^ [2].A fake PayPal phishing website is using "Let's Encrypt" certificate - Help - Let's Encrypt Community Support
^ [3].提醒 V 友, 防不胜防的钓鱼网址
^ [4].给你介绍一个假的苹果网站,能肉眼看出来算我输 - V2EX

2条评论

    1. @王琪亮 : 的确,我也丝毫不担心经常更新软件的Chrome和Firefox用户

      而真正要担心的是众多使用各种国产浏览器或MSIE的中国网民。
      那些国产浏览器有些是用Chromium二次开发,但是其Chromium版本都太旧,现在Stable Branch发布到59,我却没见过使用50+版本的.

评论已关闭。