從Chrome 90開始，用戶將會被自動引導到任何網站的安全版本。這聽上去很好，但它或許并不像我們想象的那么好。

[[389951]]

HTTPS也可能保護釣魚網站

Chrome新版本的好處顯而易見。在新版本中，Chrome瀏覽器將默認嘗試加載經過傳輸層安全(TLS)保護的網站版本。這些網站在Chrome Omnibox中顯示出一個封閉的鎖，也就是我們大多數人所熟知的Chrome地址(URL)欄。但壞消息是，一個網站如果僅僅因為被HTTPS保護就完全信任它，是不合理的。

數年前，知名WordPress安全公司WordFence發現，證書頒發機構(CA)向冒充其他網站的釣魚網站頒發了SSL證書。因為這些證書是有效的，所以即使它們是釣魚網站，Chrome仍然會將這些網站報告為安全的網站。

當然，CA不應該向這些虛假網站辦法證書，然而事件已經發生了，往者不可諫。據悉，這個名為Let's Encrypt的免費CA，曾被用來為非法使用 "PayPal "作為其名稱一部分的釣魚網站創建數千張SSL證書。

此外，零信任安全公司MetaCert的創始人兼首席執行官、萬維網聯盟(W3C)URL分類標準的聯合創始人保羅·沃爾什認為，如果認為僅靠HTTPS就足以保證互聯網連接的安全，將會產生很多問題。

"當基于DNS的安全服務剛推出時，大多數網絡都沒有加密，黑客也沒有使用谷歌、微軟、GitHub等可信的域名，所以它們在過去是有效的，但在今天就不那么有效了。"

在今天，82.2%的網站已經被HTTPS保護。

理論上的巨人，行為上的矮子

除了上述存在的客觀情況，沃爾什認為谷歌的執行力也是一個問題。

他認為，谷歌是理論上的巨人，行動上的矮子。他在分析網站安全時發現，基本的URL掛鎖是為了告訴用戶他們與網站的鏈接是加密的。但是，一個掛鎖并不代表任何信任或身份的信息。Chrome的UI設計師應該讓網站身份更加明顯，比如在工具欄上設置一個單獨的圖標來與掛鎖區別開。

換句話說，谷歌現在的設計，可以讓用戶“安全”地進入一個釣魚網站，這樣的安全性不過是徒有其表罷了。

這種情況的發生不僅僅是因為那些擁有真實HTTPS證書的虛假網站。

Modlishka攻擊會在用戶和其想訪問的網站之間創建一個反向代理。它使用戶以為自己連接到了真實的網站，因為可以從合法的網站獲得真實的內容，但反向代理默默地將用戶所有的流量重定向到Modlishka服務器。

這樣就導致了，用戶的憑證和敏感信息，如用戶輸入的密碼或加密錢包地址會自動傳遞給黑客。反向代理也會在網站提示要求用戶提供2FA令牌，黑客就可以實時收集這些2FA令牌，來訪問受害者的賬戶。

除此之外，沃爾什也完全不相信免費和簡易的HTTPS證書是一件好事。

在他看來，大量使用自動發放的免費DV證書的網絡攻擊已經削弱了互聯網的可信計算基礎(TCB)。免費DV證書對網絡安全是一種生存威脅。

沃爾什認為：

• CA應該收緊他們的身份驗證過程;
• CA應該減少獲取身份驗證的成本、時間和精力;
• 谷歌應該為瀏覽器工具欄設計一個有意義的身份驗證圖標區別于掛鎖;
• 谷歌應該改善用戶體驗，使網站的真實身份能夠被直觀地顯示出來。

只有這樣，網絡才會走上真正安全的道路。

來源：zdnet