URL栏中的绿色挂锁图标不再是您可以信任的符号
多年来,一直不断地告诉您不要在地址栏中没有绿色挂锁的网站上输入您的私人信息。你们中的一些人听从了这个建议,而你们中的一些人却没有,但是您是否曾经想过这个绿色挂锁代表什么以及它如何工作?
尽管像Google Chrome这样的浏览器现在正在逐步淘汰它 (其原因将在一分钟内变得明显),但绿色挂锁仍被普遍认为是您正在查看的网站具有SSL证书且已通过HTTPS加载的标志。 。反过来,这意味着来自该网站的所有信息以及进入该网站的所有信息都是经过加密的,并且不受中间人攻击 。
过去,专家还有另一个原因警告您不要在未通过HTTPS加载的网站上输入数据。 SSL证书是由证书颁发机构(CA)颁发的,CA每年为此收取数百美元的费用。可以预见的是,骗子们并没有准备花这么多钱使他们的网上诱骗页面看上去更像真实的东西,即使是这样,他们也将无法通过当年所做的一些手动检查。换句话说,真实的Amazon登录表单具有绿色锁,而假的则没有。不幸的是,情况不再如此。
Table of Contents
免费SSL证书的出现及其对互联网的影响
遗憾的是,并非只有那些骗子无法通过HTTPS路由其网站。 SSL证书对于许多合法的网站所有者来说也太昂贵了,这意味着很多网上商店都在暴露其客户的数据。必须要做些事情。
2014年,建立了一个名为Let's Encrypt的新CA,该CA开始完全免费提供SSL证书。互联网喜欢这个主意。
Let's Encrypt于2016年4月正式退出Beta版,当时该公司自豪地宣布已颁发的证书数量徘徊在170万左右。仅仅14个月后,就有超过1亿个“我们加密”证书。
现在,其他CA也提供了免费的SSL证书,因此,HTTPS成为规范,而不是例外。 8月,安全专家斯科特·赫尔姆(Scott Helme) 表示 ,有史以来第一次,超过一半的Alexa Top 100万网站通过HTTPS加载。当未在HTTPS下加载页面时,此转变促使浏览器供应商放弃绿色锁定图标,并用较大的“非安全”符号代替。确实,挂锁远没有以前有用。
现在,将近50%的网络钓鱼页面是通过HTTPS加载的
免费SSL证书的出现是最近在世界范围内发生的一件好事。尽管它们不是万能药,但它们使较小的在线供应商不仅可以生存,还可以蓬勃发展。现在,即使是最基本的HTML网站也没有借口在HTTP下运行。
可悲的是,如果SSL证书是免费的,并且容易为合法的网站所有者设置,那么它们也是免费的,并且容易为欺诈者设置。实际上,威胁情报和缓解措施公司PhishLabs告诉Brian Krebs ,它在今年第三季度检测到的所有网络钓鱼页面中,几乎有一半(约49%)是通过HTTPS加载的。 PhishLabs在Twitter上表示 ,这一比例从第二季度的35%和第一季度的33%上升。
骗子们正在积极地在其骗局页面上设置SSL证书,部分原因是它很容易做到且不花任何费用,部分原因是浏览器供应商正在实施的更改。他们意识到,用户将个人信息泄露给在可见的“不安全”警告下加载的网站的可能性要小得多。
我们对于它可以做些什么呢?
这是否意味着浏览器供应商放弃绿色挂锁的决定是一个巨大的错误?不,不是。问题的简单事实是,锁定图标永远不会像以前那样有用。如果仍然存在,它将不会对当前情况产生任何影响,因为如果诈骗者决定自己需要它,他们将仅获得免费的SSL证书。
那我们不应该摆脱免费的SSL证书吗?不,我们不应该。拒绝供应商选择免费保护其客户数据的选择将是一个巨大的倒退,并将使数百万个人的个人信息受到严重威胁。我们需要做的是尽可能多地教用户HTTPS是什么。
HTTPS并非可信赖性的指标。如果该网站不存在,则可以确定您所查看的网站不值得信任,但是即使该网站存在,您可能仍在寻找一个骗局。还有其他因素应引起您的注意。
