就在我们刚刚弄清楚浏览器栏中“HTTPS”的重要性时,垃圾邮件发送者和恶意攻击者早就已经知道应该怎么将系统玩弄于股掌之间了。
当一个网站使用的是HTTPS,那么不仅用户会认为自己可以信任这个网站(因为使用了加密链接),而且类似Google Chrome这样的浏览器同样会在地址栏前面显示一个绿色的安全图标以及“安全(Secure)”字样。更加重要的是,很多隐私以及安全倡导者也在不停地敦促用户当他们访问一个网站时一定要确定这个网站地址栏拥有这样的安全标志,因为他们认为只要有这种绿色安全标志的网站都是安全的。 可能各位同学看到这里会觉得世界非常的美好,但事实并非如此。实际上,Let’s Encrypt现在已经成为了网络犯罪分子将钓鱼网站“合法化”的利器,这对于我们来说绝对是一个噩耗,而对于那些仅仅只能通过地址栏的绿色标识来判断网站安全性的用户来说,他们的“后院”随时都会起火。 趋势科技发现,这些恶意广告背后的攻击者在使用Let’s Encrypt申请HTTPS证书之前,还需要创建一个看起来真实性足够高的子域名,并以此来欺骗大部分的网上用户。这样一来,用户就可以看到钓鱼网站是拥有Let’s Encrypt证书的,这样就会让用户认为这是一个合法并且安全的网站了。 我们应该尽可能地使用HTTPS,这一点毋庸置疑,但是我们并不能仅仅通过“HTTPS”就去判断一个网站是否安全。因为广大用户真的应该知道,HTTPS并不等于合法跟安全,而这也只适用于前几年的网络环境。因此,我们应该在点击某个链接之前,即使Chrome将这个链接标记为“安全”,我们也仍然要亲自检查链接的有效性以及地址中的单词拼写是否存在错误等因素,因为浏览器说它是安全的,它也并非真的安全,而这就是我们所处的网络安全世界,任何人都有可能犯错。 | 
发表于 2017-4-19 08:44
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级