我们需要对HTTPS和绿色挂锁展开一次更彻底的讨论。
随着越来越多的网站开始采用SSL/TLS来保护它们的连接,每月,在互联网从HTTP向HTTPS的大规模迁移中,我们似乎都会达到一个新的里程碑。不幸的是,今天我们将要报道一个更加可疑的里程碑:近一半的钓鱼网站现在也在使用HTTPS。
考虑到HTTPS已然成为了新的标准,尽管这总是不可避免的,但在我们开始对HTTPS进行更坦率的讨论之前,这仍然揭示了一个将会困扰这个行业的问题:
保护 ≠ 安全
尽管我们已经多次提到这一观点,但再怎么讨论都不为过。因此,今天我们就要来再次说明一次。我们将要讨论HTTPS,人们对它的错误认知,以及我们需要做什么才能纠正这些错误的认知,让这个行业变得更好。
让我们开始吧。
当下,近一半的钓鱼网站使用了HTTPS
过去几年,HTTPS网络钓鱼呈指数级增长。截止去年秋天,每月,不法分子都会创建超过140万个新的网络钓鱼网站。自那以后,这一数字便有增无减。但是,根据Phish Labs实验室的数据显示,尽管去年HTTPS钓鱼网站的数量只有大约25%——每四个中有一个——但截至2018年第三季度,这一数字几乎增长了一倍。
增长是显著的。大约在两年前,2017年的早些时候,我们发表了一篇文章。文章显示,在虚假的PayPal钓鱼网站上使用免费的Let’s Encrypt SSL certificate已经变得颇为普遍。尽管许多Let’s Encrypt的支持者对我们的意图感到怀疑,但我们的观点——HTTPS网络钓鱼网站将会快速激增——是建立在这些数据上的,得到了确切的证明。
HTTPS不再将是一个问题,它已经是一个问题了。而且考虑到免费域名验证SSL/TLS证书普遍存在,以及全行业向HTTPS的推进,这一趋势只会有增无减。
这里我们需要澄清一点:免费SSL证书绝对没有什么问题。在HTTPS已然成为标准的当下,HTTPS不应该有经济看门人。问题在于我们如何设计HTTPS。
大多数人都不知道HTTPS的用途,或者绿色挂锁意味着什么
很少有人知道他们正在网上干什么,把这一点看作理所当然是很容易的。一直以来,由于只能通过计算机访问互联网,互联网用户至少要了解一点计算机基本常识。但是现在,由于发达国家中几乎所有人都拥有一台联网手机,进入障碍便消失于无形了。
然而,对于传统的桌面浏览器,我们之前会做一些工作来教育人们如何使用它们——在我的经验中,这通常是每学期当你第一次跨入图书馆/媒体中心时,由年老的图书管理员/媒体专家(这取决于你何时上学)来完成的——尽管效果并不太大,但至少有做过一些工作。
再一次,随着智能手机时代的到来,桌面浏览器已然过时了。而且,毫不夸张的说,人们通常会让他们自己的设备去辨别真伪,弄清真假。考虑到这些设备缺乏能够用来显示像链接这样的空间,这些设备必须使用标志和视觉指示器,把它们作为一个速记参照,从而帮助告知用户他们所浏览的对象。
不幸的是,这些标志,尤其是这个绿色的、意义等同于HTTPS的小挂锁未能完成它的设计初衷。让我们先从这开始:这个绿色的挂锁意味着你的设备与你正在访问的网站或应有的托管服务器的连接将会得到加密,因而将会是安全的。因此,任何数据和连接另一端的一方都将是安全的,不会受到攻击者或者可能试图窃听上述连接的第三方的攻击。
但是,在没有某种形式的组织验证的情况下,你就不能确保连接另一端一方的身份。不法分子也能使用HTTPS。因此,尽管绿色挂锁意味着你的连接是安全的,但是它不能确保你在这个网站上的安全,或者连接另一端的一方可能会利用你发送的数据来做什么。
大多数人都不知道这一点。以下是Phish Labs实验室去年所做的一个调查的结果。
我们可以重新划分一下,这样我们的观点就更明确了。
这意味着这个小小的绿色挂锁可能很容易地让很多人上当受骗,而且犯罪分子也意识到了这点。2018年,网络犯罪的市场份额将达到12亿美元,而这还是保守估计。这些犯罪分子知道如何让人们上当受骗,从而骗取他们的金钱。他们知道,在你的防范措施已经缺失的情况下,如何设计电子邮件,让你访问这些网站。
这个绿色的小挂锁肯定不会引发任何问题。当然,在钓鱼网站上拥有SSL证书(也即HTTPS)本身可能也不会骗到任何人。但是,当它与其他令人信服的元素一起放置在网站上时——一些虚假的推荐信、虚假的网站签章或是Unicode URL——它就可能帮助达到预期的效果。
毕竟,人们只要瞥一眼,认为它没问题,就不会再管它了。
谷歌,你可能并没有帮上忙……
不管你喜不喜欢,根据浏览器的各项指标,谷歌都无可争议是行业的领导者。考虑到其市场份额(这很大一部分是由于它的Android操作系统和Chrome桌面浏览器),谷歌需要在教育人们有关HTTPS的知识方面起到带头作用,尤其什么是HTTPS,什么不是HTTPS。
多年来,谷歌一直在推动网站迁移到HTTPS,实际上,在今年7月才强制要求这么做的。
不幸的是,在进行这一行动时,谷歌并没有很好地传达出它的意图。而且,在加速互联网向HTTPS迁移的过程中,它可能已经造成了一些真正的损害。
虽然现在情况发生了逆转,谷歌开始移除这个正面的指示器,但在大约一年的时间里,Chrome浏览器就一直在显示这一标记,从而给人们传达出这样一种认知,即“安全的”网站安装了SSL/TLS证书并正确配置了HTTPS。这是一个可怕的想法,我们对此进行了广泛的批评。
现在,谷歌完全转换了方向,开始逐步淘汰URL前面的协议(https://),并打算消除一直以来伴随它的绿色挂锁图标。
对于那些仍旧通过HTTP提供服务的网站来说,所有这些都将保留下来,但是是作为负面指示器使用。
这绝对是朝着正确方向前进的一步,但是事实上,它也没能解决核心问题:人们事实上并不知道HTTPS的作用,或者绿色挂锁图标到底意味着什么。
为了确保连接安全性,谷歌花费了大量的时间来研究如何处理这些视觉指示器。这些设计上的选择并不是没有经过仔细考虑。就我个人而言,我认为谷歌只是没有志存高远。颇为痛苦的是,我意识到人类是愚蠢的。我们不能期望每个互联网用户都很心智聪慧,能够做出安全上的正确的判断。但是也不能认为互联网用户是不动脑子的,无法进行严肃思考。
在谷歌的例子中,它研究了人们在面对不同的指示器时将会作何反应,然后选择了最不让人们感到糟糕的一个。我既不是一个心理学家,也不是一个软件工程师,但是我认为这个选择回避了问题的实质:我们是否可以采取一种策略,让人们更多地了解HTTPS和连接安全性,而不是仅仅依赖于他们最不理解的东西?
我们需要就HTTPS展开一场不同的对话
重点不是要强调各种浏览器设计选择的哲学意义,而是要指出,我们需要做更多的工作来教育人们什么是HTTPS,什么不是HTTPS。
把牙膏放回牙膏管里已经太晚了。由于SSL/TLS证书可以从许多供应商那里免费获得,我们不太可能看到HTTPS网络钓鱼行为下降了。我们需要做的是讨论一下这把绿色挂锁。特别是对于普通的互联网用户来说,这意味着什么。
然后我们需要找到一种能够更好地表明网站身份的方法,不管是通过改善现有的、那些已经整合进当前的数字证书生态系统的验证流程,还是将二者进行分离并想出一个全新的事物——现有的方法已经行不通了。
