谷歌浏览器决定调整 HTTPS 安全标记背后的安全逻辑

谷歌浏览器昨日发布公告称预计在九月份发布的谷歌浏览器将会调整HTTPS安全连接的标记使用黑色的小锁。

目前该浏览器在加载HTTPS网站后会使用绿色小锁并使用安全文字来进行标记，对于推动加密连接好处多多。

经过数年的HTTPS推动目前多数网站都已经部署加密安全连接，此时谷歌浏览器也要调整策略避免潜在威胁。

具体变动在哪里：

成功加载HTTPS加密连接的网站后原绿色小锁变成黑色小锁，原安全文字标记直接删除此后将不再进行展示。

当然对于非加密连接的网站如果用户需输入内容时则还是会弹出不安全文字标记用来提醒用户谨慎输入内容。

这个调整背后的不安全逻辑：

至少从视觉效果上看当前的绿色锁和绿色文字标记更好看，但视觉效果上的更好看也会给用户带来潜在威胁。

这个威胁主要指的是非常多的钓鱼网站，当前钓鱼网站都开始使用 Mozilla 的免费证书部署HTTPS加密连接。

而用户打开钓鱼网站后看到谷歌浏览器显示的安全标记，可能会误认为这个网站是安全的因此放心输入密码。

去年三月份有安全专家发现Mozilla的免费证书项目签发15,270 份带有PayPal字样的数字签名用于钓鱼网站。

攻击者企图使用带有 PayPal 字样的域名和HTTPS加密连接被标记安全字样来诱导用户相信这是PayPal官网。

谷歌和Mozilla助长钓鱼网站：

Mozilla 提供免费证书而谷歌浏览器将其标记为安全，这种情况让安全专家认为双方是在助长钓鱼网站发展。

但不论是Mozilla还是谷歌浏览器都是很冤枉的，Mozilla提供免费证书是希望能够提高整个互联的的安全性。

谷歌浏览器不断更新的政策同样是为推动 HTTPS 的发展，进而提高网络安全性避免用户数据遭中间人劫持。

Mozilla称自动化签发证书并不会审查网站的实际内容，Mozilla也没有责任担当内容警察来审查网站的内容。

谷歌的做法也没有其他浏览器效仿：

谷歌浏览器使用绿色小锁标记网站是通行的做法，但使用文字标记网址的安全性则是谷歌浏览器的独家功能。

而其他浏览器依然选择使用绿锁或者黑锁进行标记，没有任何浏览器效仿谷歌的这种做法使用文字进行标记。

虽然谷歌这次调整并未在博客中公布该做法的原因，但显然谷歌也不想成为助长钓鱼网站们进行欺诈的帮凶。