首先是好消息。从4月中旬发布的谷歌Chrome90网络浏览器开始，SSL证书由证书颁发机构（CA）颁发给冒充其他网站的钓鱼网站。因为证书是有效的，即使它们是在虚假的前提下运行的，Chrome报告这些站点是安全的。是的，沿着该连接发送的数据是安全的，但是安全吗？我想不是！

当然，CAs不应该颁发虚假的安全证书。不幸的是，它发生了。一个完美的例子“为什么我们不能拥有美好的事物”，它揭示了https://letsencrypt.org/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>让我们加密，免费、开放和自动化的CA，已经习惯于https://www.thesslstore.com/blog/lets-encrypt-paypal/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>为非法使用“PayPal”作为其名称的钓鱼网站创建数千个SSL证书。不仅仅是贝宝。谷歌、微软和苹果的名字也被网络钓鱼者白白盗用了。

这也不仅仅是CA进程可以被滥用。保罗沃尔什，公司创始人兼首席执行官https://www.zdnet.com/article/zero-trust-is-not-a-security-solution-its-a-strategy/“>零信托证券公司，MetaCert和万维网联盟（W3C）URL分类标准发现了许多其他问题，我们天真地认为仅HTTPS就足以保护我们的互联网连接。

没错，沃尔什在推特上写道，“当基于DNS的安全服务最早推出，大部分网络没有加密，威胁参与者没有使用像Google、Microsoft、GitHub等受信任的域。因此，它们在网络中是有效的当领先的免费CAhttps://www.zdnet.com/article/securing-the-web-one-and-for-all-the-open-encryption-project/“>Let's Encrypt，始于2015年，只有不到五分之一的网站通过HTTPS进行了安全保护。今天，什么是网络钓鱼？你需要知道的一切，以保护自己免受诈骗电子邮件和更多的发生这不仅仅是因为假网站与真正的HTTPS证书。沃尔什指出https://www.zdnet.com/article/new-tool-automates-phishing-attacks-that-bypass-2fa/“>Modlishka攻击创建在您和您要访问的网站之间反向代理。看起来你与真实事物相连，因为你得到来自合法网站的真实内容，但是反向代理正在无声地重定向您进出Modlishka服务器的所有流量。因此，用户输入的“凭证”和敏感信息（如密码或加密钱包地址）将自动传递给威胁参与者。当网站提示时，反向代理还要求用户提供2FA代币。然后，攻击者可以实时收集这些2FA令牌，以访问受害者的帐户。”

哎哟。

除此之外，沃尔什根本不相信免费易用的HTTPS证书是一件好事。沃尔什写道：“在我看来，大量使用自动颁发的免费DV证书的网络攻击削弱了互联网的可信计算基础（TCB）。而免费DV证书对社会的安全和福祉是一种生存威胁。”

答案是什么？沃尔什认为，中科院应该：

1. 加强身份验证流程。
2. 减少成本、时间，以及获取身份验证的努力。
3. 浏览器供应商应为浏览器工具栏设计一个有意义的身份验证图标——远离挂锁。
4. 浏览器供应商应改善用户体验，使网站的真实身份更直观。

然后，也只有这样，网络会不会在真正安全的道路上走得很好。

相关报道：

开源倡议选举遭黑客攻击

linus torvalds on where rust will fit into Linux

通过注册，您同意href=“https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof