«Безопасный» в браузере Chrome не означает «безопасный»

  1. Что на самом деле означает «безопасный» в браузере Chrome?
  2. LetsEncrypt предоставляет действительные SSL-сертификаты фишинговым сайтам
  3. Проблема не только в LetsEncrypt. Это также другие центры сертификации (CA).
  4. Даже если ЦС отзывает сертификат, Chrome все равно отображает его как «Действительный» и «Безопасный».
  5. Вы не можете полагаться на предупреждения вредоносных сайтов Chrome из списка безопасного просмотра Google.
  6. Что вы должны сделать, чтобы обеспечить безопасность в Интернете?
  7. Что может сделать Google Chrome для повышения безопасности?
  8. Что может сделать LetsEncrypt для улучшения безопасности?
  9. А как насчет других CA, таких как Comodo?
  10. Распространить слово!

Веб-браузер Google Chrome используется более 50% пользователей в сети. Когда вы посещаете веб-сайт, использующий SSL, иначе известный как HTTPS или TLS, в строке адреса браузера вы видите зеленое сообщение с надписью «Безопасный».

«Безопасный» в браузере Chrome не означает «безопасный». В этом посте я объясню, почему в терминах, которые легко понять, и расскажу, что с этим делать. Я написал этот пост, чтобы его было легко читать. Я хотел бы призвать вас поделиться этим с друзьями и семьей, чтобы помочь им оставаться в безопасности.

Для наших технических читателей, вот краткое изложение того, что мы обсуждаем в этом посте:

  1. Мы показываем, что SSL-сертификаты выдаются несколькими центрами сертификации (CA) фишинговым сайтам, выдавая себя за Google, Microsoft, Apple и другие известные компании.
  2. Действительный сертификат заставляет Chrome показывать веб-сайт как «безопасный».
  3. Когда сертификат аннулируется, как только CA осознает, что он не должен был его выдавать, мы показываем, что Chrome по-прежнему показывает сайт как «безопасный». Статус «отозван» виден только в инструментах разработчика Chrome.
  4. Вредоносным сайтам, которым выданы действительные сертификаты SSL, требуется некоторое время, чтобы появиться в списке вредоносных сайтов Chrome. Мы показываем, что на список безопасного просмотра нельзя полагаться как на механизм резервного копирования для защиты пользователей от вредоносных сайтов с действительными сертификатами SSL.

Что на самом деле означает «безопасный» в браузере Chrome?

Для того чтобы Chrome пометил веб-сайт как «безопасный», ему необходимо настроить SSL на своем веб-сервере. В рамках этого процесса ему необходимо связаться с центром сертификации (ЦС), чтобы получить «сертификат». Предполагается, что ЦС должен убедиться, что владелец сайта действительно владеет сайтом. Этот процесс называется проверкой домена. Помимо проверки того, что владелец домена действительно владеет веб-сайтом, ЦС не обязан делать что-либо еще.

В Chrome, когда вы видите «Безопасный» в адресной строке браузера, это означает, что соединение между вашим браузером и веб-сайтом, к которому вы подключены, зашифровано. Это также означает, что лицо, установившее сертификат на сайте, фактически владеет доменом сайта. Это не означает, что домен является «Надежным», «Безопасным», «Не вредоносным» или чем-то еще.

LetsEncrypt предоставляет действительные SSL-сертификаты фишинговым сайтам

До относительно недавнего времени CA обычно не выпускали SSL-сертификат для сайта, который явно пытается притвориться, что это apple.com или microsoft.com. Тем не менее, есть новый CA под названием LetsEncrypt который выдает бесплатные сертификаты веб-сайтам, которые хотят использовать SSL.

У LetsEncrypt благородная цель. Они пытаются освободить использование SSL для шифрования соединений в Интернете. Однако они не проверяют, притворяется ли владелец сайта кем-то другим. Таким образом, результатом этого является то, что мы видим много фишинговых сайтов, у которых есть действительный сертификат, выданный LetsEncrypt и который отображается в браузере Chrome как «Безопасный».

Вот пример веб-сайта, который использует сертификат LetsEncrypt и который отображается как «Безопасный» в Chrome. На момент написания этой статьи (1:00 по тихоокеанскому времени 28 марта 2017 г.) этот сайт не был указан как вредоносный в Chrome или в списке безопасного просмотра Google и отображается как «Безопасный».

Как видите, Chrome говорит, что сайт защищен. Владелец сайта пытается притвориться, что сайт находится в магазине Google Play. Они надеются, что вы перепутаете текст после «.com» с тем, что обычно появляется после косой черты в реальном магазине Google Play. Это пример фишингового сайта, который попытается обмануть вас при вводе учетных данных для входа в Google Play Store.

Чтобы просмотреть информацию о сертификате этого сайта, вам необходимо открыть инструменты разработчика Chrome и просмотреть вкладку безопасности. Вы можете сделать это, перейдя в меню View> Developer> Developer Tools.

Вот как выглядит вкладка разработчика:

Если вы нажмете «Просмотреть сертификат», вот что вы видите:

Сертификат указан как принадлежащий geoduo.fr, но на самом деле он используется многими другими веб-сайтами. На вкладке сети вы можете увидеть этот список сайтов: (показаны только первые несколько)

Все эти сайты имеют одинаковый сертификат. Это может означать несколько вещей. Это может означать, что ими управляет один и тот же человек. Это также может означать, что хостинг-провайдер, который размещает этот сайт, в данном случае OVH SAS France, выпустил бесплатный сертификат для этого сайта и включил множество других сайтов в один и тот же сертификат SSL.

Как видите, «Безопасный» в данном случае просто означает, что вы общаетесь с вредоносным веб-сайтом, используя зашифрованное соединение. Это не означает, что сайт является «безопасным».

Проблема не только в LetsEncrypt. Это также другие центры сертификации (CA).

Эта проблема не ограничивается только LetsEncrypt, хотя на сегодняшний день они являются наиболее распространенным центром сертификации, который в настоящее время используют фишинговые сайты. В приведенном ниже примере веб-сайт притворяется Apple.com, так что он может украсть ваши учетные данные для входа в Apple:

На момент написания статьи (28 марта в 1:00 по тихоокеанскому времени) этот сайт не был указан в списке безопасного просмотра Google, и Chrome показывал его как «Безопасный». В этом случае сертификат был выдан Comodo.

Даже если ЦС отзывает сертификат, Chrome все равно отображает его как «Действительный» и «Безопасный».

Давайте посмотрим на сертификат Comodo в приведенном выше примере. Сначала мы переходим в «Инструменты разработчика» в Chrome и открываем вкладку «Безопасность»:

Как вы можете видеть, в обзоре безопасности говорится, что страница «безопасна». Теперь нажмите на «Просмотр сертификата»:

Оказывается, этот сертификат был «отозван». Это означает, что Comodo, CA в данном случае, понял, что сертификат принадлежит вредоносному веб-сайту после того, как выпустил его, и они решили пометить его как недействительный.

Поскольку Chrome не проверяет списки отзыва сертификатов в режиме реального времени, он показывает, что сертификат действителен в строке адреса, а на сайте - как «Безопасный». Chrome не знает, что Comodo отозвал сертификат после того, как Comodo понял, что они не должны были выдавать его в первую очередь.

Вы не можете полагаться на предупреждения вредоносных сайтов Chrome из списка безопасного просмотра Google.

Для исследования этого поста мы использовали сервис под названием Censys.io искать сертификаты для сайтов, которые соответствуют определенным шаблонам. Затем мы нашли другие домены, которые используют те же сертификаты. Домены с общими сертификатами часто связаны между собой и могут иметь одного и того же владельца.

Ниже приведено графическое изображение, показывающее количество фишинговых доменов, которые мы обнаружили в нашем исследовании и которые делятся сертификатами. На рисунке ниже домены, помеченные Chrome как вредоносные, выделены красным. Остальные зеленые. Строки связывают домены, которые разделяют сертификаты SSL.

Строки связывают домены, которые разделяют сертификаты SSL

Как видите, домены в этом списке притворяются либо google.com, либо microsoft.com. Нажмите на картинку для увеличения. Некоторые из них перечислены как вредоносные в браузере Google Chrome. Большинство из них не указаны как вредоносные.

Хорошей новостью является то, что эти домены в конечном итоге окажутся в «безопасном списке просмотра» Google, который Chrome использует для выявления плохих сайтов. Этот список был создан утром в понедельник, 27 марта, и к вечеру некоторые зеленые домены, указанные выше, появились в списке безопасного просмотра Google, и Chrome предупреждал о них. Но это требует времени.

В то время как проект безопасного просмотра, который запускает Google, отлично работает, пользователи Chrome не могут полагаться на него, чтобы надежно идентифицировать вредоносные сайты и выдавать предупреждение.

Что вы должны сделать, чтобы обеспечить безопасность в Интернете?

В этом случае лучший способ защитить себя от вредоносных сайтов - это проверить строку местоположения вашего веб-браузера и прочитать полное имя хоста веб-сайта, которое там отображается.

Посмотрите на адресную строку выше. Вы должны увидеть «https://www.wordfence.com/….». При посещении любого веб-сайта, с которым вы планируете обмениваться конфиденциальными данными, проверьте полное имя хоста после «https: //» и перед следующей косой чертой. Если вы не узнаете его или, похоже, в его конце есть какие-то странные вещи, немедленно закройте окно и тщательно продумайте, как вы оказались на этом сайте.

Избегайте кликов по ссылкам, которые привели вас на этот сайт снова

Что может сделать Google Chrome для повышения безопасности?

По моему мнению, Google на самом деле довольно хорошо справляется со своей задачей. Они быстро отреагировали на наши опубликовать ранее в этом году о новой фишинг-атаке Gmail , Они связались с нами и решили проблему.

Chrome должен начать поиск списков отзыва сертификатов в режиме реального времени, чтобы устранить проблему с сертификатом Comodo, который мы показали выше. Использование Chrome для отображения отозванного сертификата как «Безопасного» недопустимо. Тем не менее, выполнение этого приводит к снижению производительности для пользователей Chrome, а также может повлиять на конфиденциальность, поскольку посещаемые веб-сайты отправляются в ЦС во время поиска. Так что это не просто исправить.

Мне бы хотелось, чтобы команда безопасного просмотра Google (GSB) использовала отношения сертификатов, как мы использовали выше, чтобы идентифицировать другие вредоносные домены, которые должны быть в GSB. Они могут быть в состоянии автоматизировать это. Это ускорит время, необходимое для размещения вредоносных сайтов в списке GSB.

Я не думаю, что «Безопасный» указатель в адресной строке Chrome достаточно хорош. Команда Chrome должна учитывать скользящую шкалу, которая учитывает, кто является центром сертификации, сколько доменов имеет один и тот же сертификат, а также возраст домена и его сертификата. Есть и другие сигналы, которые они, вероятно, могут использовать для получения оценки безопасности, а не просто двоичный указатель «Безопасный» или «Незащищенный» для веб-сайтов.

Что может сделать LetsEncrypt для улучшения безопасности?

Команда LetsEncrypt должна начать поиск ключевых слов в приложениях SSL-сертификатов. Это может быть полностью автоматизировано, и LetsEncrypt должен отклонять сертификаты, содержащие такие строки, как «.apple.com.», «.Paypal.com.», «.Google.com.» И другие распространенные шаблоны фишинга.

Они могут внедрить процесс проверки, при котором, если ваш запрос на сертификат отклонен, вы можете подать заявку на токен, который позволит вам в будущем обойти проверку, как только вы докажете, что вам что-то нужно с «.apple.com».

А как насчет других CA, таких как Comodo?

В приведенном выше примере Comodo фактически обнаружил, что сайт является вредоносным, и отозвал сертификат. Поэтому им следует отдать должное за это. Проблема заключалась в том, что Chrome неправильно ищет отозванные сертификаты.

То, как центры сертификации выдают сертификаты, уже давно является предметом дискуссий. Google положил предложение на стол отменить способность Symantec выдавать сертификаты на основе истории плохого поведения ЦС от них. В предложении предлагается немедленно отменить способность Symantec выпускать сертификаты EV (расширенная проверка) и постепенно не доверять обычным сертификатам SSL, выданным ими.

Между создателями браузеров и центрами сертификации ведутся постоянные и оживленные дискуссии о том, как выдавать сертификаты и что является действительным сертификатом.

Распространить слово!

Когда браузеры пытаются улучшить представление о безопасности сайтов, а ЦС пытаются улучшить свои процессы, вы можете помочь защитить сеть, убедившись, что вы действительно смотрите на имя хоста, которое отображается в строке адреса. Вот как выглядит имя хоста. Это подчеркнутая часть URL:

Удостовериться:

  • Вы можете увидеть полное имя хоста в строке адреса браузера.
  • Вы узнаете все имя хоста.
  • Ваш браузер говорит, что ваше соединение зашифровано. Chrome покажет слово «Безопасный».

Поделитесь этим сообщением с теми, кто вам небезразличен. Менее технические пользователи могут увидеть слово «Безопасный» и подумать, что это означает, что сайт «Безопасный». Это не. Объясняя своим друзьям и семье, что такое «имя хоста» в строке адреса, и заставляя их перепроверить его, вы, вероятно, спасете хотя бы одного человека от того, что он стал жертвой фишинг-атаки.

Авторы : Спасибо члену команды Wordfence Шону Мерфи, который провел оригинальное исследование, связывающее вредоносные сайты с помощью их общего сертификата, и разработал визуализацию графиков. Он также создал данные для этого поста. Спасибо Дэну Моену за редактирование.