每个月似乎我们在互联网大规模从HTTP迁移到HTTPS的过程中达到了一个新的里程碑，越来越多的网站采用SSL / TLS并保护他们的连接。不幸的是，今天我们报告了一个更加可疑的里程碑：近一半的网络钓鱼网站现在也在使用HTTPS。

HTTPS网络钓鱼在过去几年中呈指数级增长。截至去年秋天，每个月都有超过140万个新的网络钓鱼网站被创建。从那时起，这个数字才有所增长。但是，根据Phish   Labs的数据，去年HTTPS网络钓鱼网站的数量仅为25％ - 四分之一 - 几乎翻了一番，达到 2018年第三季度的49％。

这是一个显着的增长。差不多两年前，在2017年初，一篇研究文章显示假冒PayPal网络钓鱼网站上免费的Let's加密SSL证书的盛行。虽然许多Let's   Encrypt的支持者对我们的意图持怀疑态度，但我们所做的一点 - 关于HTTPS网络钓鱼网站即将到来的飙升 - 是由这些数字所证实的。

HTTPS不再是一个问题。它正式是。鉴于无处不在的免费域验证SSL / TLS证书以及全行业对HTTPS的推动，这并没有显示出减弱的迹象。

我们希望在此记录：免费SSL证书绝对没有错。当现在成为标准时，不应该有HTTPS的经济守门人。问题是我们如何构建HTTPS。

大多数人不知道HTTPS实际上做了什么或绿色挂锁意味着什么

人们很容易理解他们在网上做什么的人很少。从历史上看，由于您只能从计算机访问互联网，互联网用户必须至少具有半计算机知识。但是现在发达国家几乎每个人都拥有一台连接互联网的智能手机，这种进入障碍已经被有效地消除了。

而对于传统的桌面浏览器，我们已经做了一些努力来教育人们如何使用它们 - 根据我的经验，这通常由一位年老的图书管理员/媒体专家（取决于你什么时候去学校）在你第一次访问图书馆时完成每个学年都有/媒体中心 - 尽管那是微不足道的 - 这是件事。

再次，随着智能手机的时代，这一切都消失了。人们常常被自己的设备（字面意思）留下来解决它。由于缺乏空间，这些设备必须显示URL等内容，这些设备使用的符号和视觉指示器必须作为一种速记，可以帮助用户了解他们正在查看的内容。

不幸的是，这些符号，特别是那些与HTTPS同义的绿色挂锁，在实现他们的目标方面做得不够。让我们从这开始：所有绿色挂锁意味着您的设备与托管您正在访问的网站或应用程序的服务器建立的连接将是加密且安全的。因此，您和该连接另一端交换方的任何数据对于可能试图窃听所述连接的任何攻击者或第三方都是安全的。

但是，如果没有某种形式的组织认证，您无法保证该连接另一端的参与方是谁。坏人也可以使用HTTPS。因此，虽然绿色挂锁意味着您的连接是安全的，但它不能保证您在该网站上的安全性或连接另一端的一方可能对您发送的数据做什么。

大多数人都不知道。以下是Phish Labs去年进行的调查结果。

我们可以对它进行一些重新分类，以便更明确地说明我们的观点。

这意味着，数量惊人的人 - 再次，他们中很多人在手机上 -   很容易被那个小小的绿色挂锁图标欺骗。网络犯罪分子非常清楚这一事实。网络犯罪将在2018年成为一个1.5万亿美元的产业，这不是偶然发生的。这些罪犯知道如何欺骗人们的钱。他们知道如何通过社交工程设计电子邮件，这些电子邮件可以帮助您访问这些网站。

而那个小绿色挂锁的存在肯定不会引发任何天线。当然，在网络钓鱼网站上拥有SSL证书，以及HTTPS，本身可能不会让任何人陷入困境。但是，当它与其他令人信服的元素一起分层到网站上时   - 一些虚假的推荐，可能是一个欺骗性的网站封印或Unicode网址 - 它可以帮助实现预期的效果。

毕竟，它只需要通过扫视测试。大多数人不会做更多的事情。

谷歌，可能没有帮助......

无论喜欢与否，谷歌在浏览器指标方面都是事实上的行业领导者。鉴于其市场份额，主要是由于其Android操作系统和Chrome桌面浏览器，谷歌需要带头教育人们关于HTTPS，特别是它是什么和不是。

谷歌一直在推动网站迁移到HTTPS多年，实际上已经在去年7月强制要求。

不幸的是，谷歌在这项倡议所伴随的消息传递方面做得并不好。它可能在加速互联网迁移到HTTPS的尝试中造成了一些真正的损害。

虽然它现在已经改变了方向并删除了积极的指标，但大约一年时间，Chrome显示的徽章在安装了SSL / TLS证书且已正确配置HTTPS的网站上说“安全”。这是一个可怕的想法 - 我们广泛批评的想法。

谷歌现在完全改变了方向，在网址开头逐步淘汰协议（https：//），意图消除传统上伴随它的绿色挂锁图标。

对于仍然通过HTTP提供服务的网站，所有这些仍将是一个负面指标。

这绝对是朝着正确方向迈出的一步，但它无法真正解决这个问题的核心问题：人们不明白HTTPS实际上是什么或绿色挂锁实际意味着什么。

谷歌花了大量时间研究如何处理这些连接安全的可视指标。这些设计选择并非没有经过深思熟虑。就个人而言，我只是认为谷歌的目标不够高。我痛苦地意识到人类是愚蠢的。我们不能指望普通的互联网用户能够表现出精神灵巧的功能来做出安全判断，而且提问也是愚蠢的。但我们也没有必要像对待互联网用户一样对待他们，因为他们已经脑死亡，无法做出任何批判性思考。

在谷歌的案例中，它研究了人们如何对一系列不同的指标做出反应，然后选择了最不完美的指标。我既不是心理学家，也不是软件工程师，但我认为这个选择确实提出了一个问题：我们是否可以采取一种机制，试图让人们更多地了解HTTPS和连接安全性，而不仅仅是依赖于他们误解的内容最小？

我们需要就HTTPS进行不同的对话

关键是不要对浏览器设计选择进行哲学思考，而是要指出我们 - 作为一个行业 - 需要做更多的工作来教育人们了解HTTPS是什么以及HTTPS不是什么。

把牙膏放回管中已经太迟了。通过许多供应商免费提供SSL / TLS证书，我们不太可能看到HTTPS网络钓鱼的下降。需要做的是我们需要讨论绿色挂锁。特别是与普通互联网用户有关它实际意味着什么。

然后我们需要努力改善网站身份。无论是通过改进已经集成到我们当前数字证书生态系统中的现有验证流程，还是将两者解耦并提出全新的东西来实现这一目标，现状就不再适用了。

文章来源：互联网

厦门聚力诚信科技有限公司（BestCert）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。