我们所听到的关于网站身份保证的一切都是错误的

我极不喜欢误导性广告。我们每天都能看到它；减肥药，快速赚钱计划，如果你和我一样，声称扩展验证（EV）证书确实有用：

你为什么还声称这个@digicert？这是极其误导的，有人想向其管辖范围内的相关广告标准机构报告这一点吗？https://t.co/enzJUodhdG照片。啁啾com/Rnx6CDexhv

-特洛伊亨特（@troyhunt）2022年2月9日

有人私下联系了我，并分享了这一令人不快的页面，因为他们'；d对DigiCert提出的虚假声明表示异议。我对证书颁发机构在电动汽车上的恶作剧的看法是众所周知的，之前我就这个话题做了很多演讲，并写了很多博客文章，最近一次是在2019年8月，Chrome和Firefox都宣布他们要杀死它。当我说"；杀死"；，这并不意味着电动汽车在技术上不再工作，但它扼杀了斯普鲁克人所依赖的唯一东西——在地址栏旁的视觉效果。那是两年半前的事了，那么为什么DigiCert还在用公司名称来宣传绿色酒吧的信息呢？让我心悸（虽然我能说出$$），但显然，在那条推文之后，DigiCert改变了主意，因为一天后，令人不快的图像消失了。您仍然可以在2月9日的存档快照中看到原始版本。组织：

问题解决了！是的，不。。。我对新增加的关于如何识别虚假网站的内容特别感兴趣，亲爱的读者们，这是这篇博文的催化剂。让'；让我们一点一点地把它拆开。

这不是'；所有这些都不会按照DigiCert展示信息的顺序进行，而是我'；我将以一种方式穿过它，系统地把它拆开，然后用火焰把它射下来。让'；让我们从这里开始：

你应该通过点击锁来查看更多信息。

事实证明，在锁之外看的流行语是一个术语，他们'；我以前在另一篇文章中提到过'；我很快就回来。现在，让'；让我们来谈谈这个词的含义，从它在电脑Chrome中的工作原理开始：

那'；这就是你所得到的"；点击一次"；-确保连接安全，这实际上只是重申了我们已经知道的挂锁图标的礼貌。在这个阶段，我们对网站身份一无所知，所以让'；让我们进一步深入：

啊，现在我们知道证书已经发给了美国的DigiCert公司。那好吧？不，因为他们是谁？我的意思是，我们所知道的只是证书已经发给了一个同名实体，我们不知道'；I don’我不知道他们是认证机构还是公司，他们会认证你手上有多少个手指（数字——明白了吗？）。几年前，伊恩·卡罗尔（Ian Carroll）为Stripe Inc.获得了一份EV证书。一份完全合法的证书颁发给了一家完全合法的实体，而不是所有人都认为的实体。

但这是更多的努力，可以说，它'；以这种方式颁发EV证书比颁发域验证（DV）证书更难，所以。。。EV更好吗？不，因为根据本节的标题，实际上没有人会看锁之外的东西。（是的，我知道总会有人最终会这样做，让我们同意，没有人是一个四舍五入到0%的数字。）我是说真的，你做过这个吗？你的另一半？你父母？不，不，不。

但是让我们'；让我们逗乐他们，说是你干的。让'；让我们想象你'；我们要去亚马逊购物，你看看锁的后面，这里'；这就是你'；我看看：

呵呵。这是。。。不同的将其与DigiCert进行比较，看看"；发给"；部分丢失了吗？那'；因为亚马逊没有'；我没有EV证书，这是不可避免的，因为他们'；你足够聪明，意识到它不会'；如果他们这样做了，我也不会对他们有任何好处！但你看到了问题：如果DigiCert想证明你应该在信任网站之前通过向下搜索两次（而不是一次）来检查证书，那么这显然与网络的实际工作方式背道而驰。eBay也是如此。阿里巴巴也是如此。我买咖啡的那家小店也是。唐'；t"；看看锁那边"；因为如果你这样做了，你'；我们再也不会在网上买东西了。

回到专页查看锁之外的地方，DigiCert在peoples的银行。com（使用EV证书），并提供了多个银行在各种浏览器中的显示示例，然后得出如下结论：

由于目前没有一种统一的方式在所有网络浏览器中显示出更强的身份和信任，浏览网络的消费者和其他依赖方需要自己知道如何识别有关网站所有权的信息。

但正如这一逻辑所没有的那样'；t为世界工作'；中国最大的电子商务平台，它也没有'；我不在许多银行工作。例如，我们的"；大4"；在澳大利亚这里：

是的，你会发现各种各样的银行都有EV证书，但你几乎肯定没有'；我不知道哪些是没有检查的，这也意味着你没有'；我不知道哪些人没有'；如果你去那家银行，不'；看不到EV，这是什么意思？这是钓鱼网站吗？还是一家没有电动汽车的银行？记住，电动汽车只有在人们在没有电动汽车的情况下改变他们的行为时才会起作用，而且很明显，这根本不起作用'；这不会发生。

而我们'；关于银行，请查看丹麦银行的证书透明度日志。com和搜索"；扩展验证"；。他们'；我过去有很多电动汽车证书，但后来都放弃了。现在，想象一下你'；你是丹麦银行的客户，39岁；比如说你'；你是那种罕见的品种，实际上点击（两次）进入证书细节；如果你第一次没有做什么'；看不到EV吗？离开现场，不再在那里存钱？不，当然不是，他们放弃电动汽车而不产生任何后果证明了他们（以及其他许多人）对电动汽车的实际价值是多么渺茫。

这就是不可能的'；DigiCert营销人员似乎不理解，因为如果是这样的话，像这样的声明就不会'；不存在：

由于EV证书提供了更高级别的身份验证和验证，用户知道你就是你所说的你，并且在传输敏感数据时感到安全。

那'；在原始推文的页面上。同一页面建议，EV应用于账户登录、订单处理和"；正面网站"；这是。。。整个互联网？明白了，把它放在任何地方。

让'；让我们继续幽默DigiCert：你看起来怎么样；锁外"；在手机上？你知道，那些现在在移动购物领域占据主导地位的设备？占所有电子商务销售额四分之三的是什么？在iOS上的Safari上试一试。你能想出如何检查一个地点吗#39；什么证书？你赢了'；t、 因为你可以'；T

让'；让我们试试Chrome。你可以'；t点击地址栏上的锁，你需要点击小菜单图标（3点），向下滚动然后点击"；网站信息"；。你可以在这个博客上这样做：

当你进入这个网站时，你的信用卡号是安全的！但因为我不'；没有EV证书，你没有'；在任何地方都看不到实体名称，因此您没有身份保证。让'；让我们试试DigiCert：

UH其中'；s"；DigiCert公司"；？不在那里。铬不'；不要在他们的移动浏览器上显示实体名称，至少不要在iOS上显示。您看到的DigiCert引用只是颁发CA，其方式与您在我的证书上看到的Cloudflare相同。

在今天写这篇博文时，我与DigiCert support进行了一次长时间的聊天，我提出了这个确切的问题（以及其他问题）。他们提出了两个有趣的观点，第一个是Android上的Chrome将显示EV证书的完整实体名称（请在评论中确认，Android朋友）。第二点是，iOS用户应该遵循关于如何检查计算机和iPhone上的数字证书的指导，该指导建议他们下载一个名为TLS Inspector的专用应用程序，然后该应用程序将显示实体的完整名称。认真地有人将要进行在线购买，但想先验证服务的身份，所以他们去应用商店，下载TLS inspector，输入他们所在网站的URL，然后对信任做出判断？C'；伙计们，这太荒谬了！

这说明了这篇文章的整个主题——他们'；重新提供是有误导性的。在DigiCert提供的关于检查证书的大量信息中，我没有发现任何一处提到在可以说是世界的浏览器中无法做到这一点'；这是最容易识别的移动设备。为什么不呢？它是否会对电动汽车的功效产生不良影响？是的，会的。

总之，没有人在锁之外点击，如果他们点击了，他们'；d几乎从未见过EV，即使他们想点击，它也不会'；不管怎样，在大量的移动设备上也不会对他们有任何好处。

你还可以怎样确定一个网站是假的？显然，使用网站检查器：

如有疑问，请使用网站检查器验证网站是否安全。安全的网站检查可以让你知道网站上的任何漏洞，如果它使用的是加密，以及网站的验证级别。

试图建立网站合法性的人真的会这么做吗？！让'；让我们看看它是如何工作的，我'；我将在英国广播公司播出'；s店：

所以如果你没有使用这4个CA中的一个证书，你会受到惩罚吗？那'；这是确定网站是否虚假的一部分？！这感觉更像一个穷人#39；s SSL实验室使用内置的证书颁发机构偏差进行测试，而不是用来确定网站是否伪造。

成功继DigiCert'；关于识别虚假网站的页面指南，I'；我加载了网站检查器，检查了网站和它'；我们都回来了。嗯，除非你真的把它装上去，否则它'；它相当红：

它'；这不是DigiCert'；有人在这里建立了一个钓鱼网站，这是他的错，但这表明告诉人们使用网站检查器完全没有任何用处。要检查证书是否有效吗？那'；这就是你的浏览器不用动一根手指就能完成的功能。那'；这是什么'；这很有用，不是哪个CA颁发的证书。

2015年，我在阿姆斯特丹看到了一对非常聪明的保安人员的演讲，他们在演讲中谈到了他们巧妙命名的论文：《棍棒海豹：探索第三方安全海豹的生态系统》。根据他们的结论：

通过一系列自动和手动实验，我们发现第三方安全封条严重缺乏完整性和漏洞覆盖率。我们发现了经认证安全的网站中的多个基本漏洞，并表明使用第三方安全封条的网站没有比不使用封条的网站更好地遵循安全最佳实践。此外，我们还提出了一种新的攻击方法，可以将封条用作漏洞预言器，并描述了攻击者如何滥用封条提供者来发现任何给定的漏洞封条使用网站的确切漏洞。

它'；这篇文章值得一读，以了解他们使用封条暴露漏洞的巧妙技术方式，但目前我'；我只想把重点放在每个人都能轻松掌握的非常明显的东西上。

DigiCert正在积极地拉皮条"；DigiCert安全"；印章作为建立网站可信度的一种手段：

网站封条表明该网站是真实的，你通常可以点击网站封条来显示有关该网站的更多信息以及它是如何被验证的。点击时不起任何作用的印章不应被信任，因为它们很可能是印章的非法副本。

好的，首先，网站封条只是一个图像。仅此而已。任何人都可以把他们喜欢的任何图片放在一个页面上，是的，甚至是DigiCert'；s、 这里'；这就是你所需要的：

那'；如果有人相信DigiCert sea。。。去他妈的，让'；我们就这么说吧——DigiCert安全图像被不当使用了——他们可以报告。那'；我会阻止黑客的！但即使是这一页也是荒谬的：

我们说的是印章还是证书？印章是页面上的图像，任何人都可以自由放置在页面上，同时证书必须正确签名并发给经过验证的客户。它'；这是一个非常奇怪的术语组合。

这让我想到了第二点：除了极少数人，没有人知道DigiCert是谁。如果你'；你是一个钓鱼者，你相信海豹的价值，但不要'；我不想侵犯DigiCert'；s IP，做你自己的吧！找到剪贴画，添加文字，完成工作！

第三，我可以'；我不相信这一点——当你点击非合法印章时，它们仍然可以用来做事情！我的意思是说真的，关于"；单击时不起任何作用的密封件"；这简直是无稽之谈，你可以很容易地模仿DigiCert'；当有人点击一个新窗口时，它会弹出一个新窗口：

如果是我，我'；d从一个看起来合法的域名弹出窗口，就像真正的DigiCert安全站点一样，它不会'；我甚至不需要EV证书，这样就没有人可以验证提供该证书的网站的身份！有点讽刺。

网站封条的部分问题在于用于推广封条的经验数据的公正性。例如，在DigiCert'；这是所有优点，没有缺点的信息图表：

由于明显的偏见，我们可以放弃最后两个，但是第一个呢？关于2020年的现场封条，贝马尔研究所有什么看法？它'；很难说，因为它'；这是一个与实际研究没有联系的泛指。我觉得是'；这是用户在结帐流程（包括2021年新的“信任封条”研究）中对安全性的看法，因为CheapSSL安全性从他们自己的资源拉皮条商业证书链接到那里。他们以类似的比率（17%）谈论放弃，并接着说（强调他们的）：

一般来说，我们在测试中看到，添加任何视觉图标都将有助于提高用户的总体安全感知水平。

自2016年以来的每项测试中，我们还包括一个完全“自制/伪造”的印章，该印章不是由第三方发行的，除了图标本身没有任何意义。请注意，自制封条的性能明显优于诺顿以外的知名供应商发行的SSL封条。

我在写了上面这篇文章后发现了这一点，建议人们应该自己做，我'；我得承认，我现在有点自鸣得意😊

但是，嘿，我总是说，我们不应该根据说了什么来判断，而应该根据做了什么来判断，所以让'；让我们看看Baymard自己在拥有大量研究数据的情况下做了些什么。EV证书？不：

那么，在购买时，我们需要一个印章，这正是我们需要说服人们信任该网站，而不是加入17%的人去别处的地方。让'；我们去购物吧：

好吧，除了信用卡标识什么都没有，让'；s击中大"；用信用卡支付"；按下按钮，看看我是否能重新获得信心：

没有网站封条！我非常害怕这个商人的可信度，所以我立即关闭了账单，并没收了我购买的商品。

那么，即使是进行研究的组织也不知道，这会告诉你什么；你看不到现场封条的价值吗？而且，当世界上有一个#39；全球最大的支付提供商显然认为网站封条没有价值，我们对此有何看法？它'；这是一个非常明显、非常简单的结论。

我'；2018年，我在夏威夷的LocomoSec上看到了艾米莉·谢赫特的一篇演讲，这次演讲的主题正是我所想的'；I’我希望你能从以下几个方面进行观察（继续，直到你有了这个想法）：

虚假网站的一个关键指标是拼写错误的URL。欺诈者可能会稍微更改URL名称，比如使用Amazon。com，或者他们可能会改变域名扩展，比如亚马逊。而不是亚马逊。通用域名格式。

那么，我们怎么知道亚马逊。地址错了吗？他们真的希望人们记住他们使用的各种网站使用的TLD吗？这是一个特别糟糕的例子，因为不只是。org重定向到主站点，它'；它实际上也是亚马逊（你认为它是亚马逊）的所有者所以它'；这是一个糟糕的34岁的例子；假"；地点此外，上面的引用意味着"；正确"；亚马逊TLD是。com-那么我之前在看什么呢。通用域名格式。au版本？！TLD通常具有地理背景，因此建议"；更改域扩展"；某种程度上是一个虚假网站的指标是荒谬的。

这里'；这是问题的另一个完美例证：我'；我刚刚讨论了"；DigiCert安全"；现场封条以及如何放置在商户上#39；如果用户点击了s站点，则应将用户带到显示"；有关该网站的更多信息，以及如何对其进行验证；。好吧，让'；让我们想象一下，点击封条后加载的站点是digicert安全的。通用域名格式。看起来合法吗？它'；这里没有拼写错误；没有字符替换，TLD是。。。也合法吗？但它'；这不是DigiCert'；s、 相反，数码港得到了保护。com域是我的。我决定让网站完全空着，因为我不'；我不需要做更多的事情来说明这一点。好吧，那就是'；它几乎是空的，我只是在页面上加了一个印章以示保证😎

我们中没有人能够读取URL，并始终在信任的基础上做出可靠的决定。让我通过周末收到的这条网络钓鱼信息进一步说明这一点：

在我看来，这简直是垃圾，因为a）我没有'；b）它具有钓鱼攻击的所有特征，主要是它显然试图引诱我点击（什么软件包？！我不记得订购过软件包！现在我真的很好奇……）不，这条路的尽头有一根时髦的绳子，它不是'；这不是网络钓鱼的标志，因为这是一条合法的路径。例如，这里'；这是我最近在亚马逊订购的东西（我不知道哪一部分可能会泄露某些信息，所以我混淆了其中的各个部分）：

至于xterminator。co.nz，即'；这是奥克兰一个合法的害虫防治网站，它'；只是上面的路径会将你路由到一个网络钓鱼页面（要么网站已被破坏，要么它使用了开放重定向）。所以，回到本节开头的引用，你和我都无法阅读URL，也无法做出可靠的可信决定。那'；这就是为什么我们有这样的控制：

那'；iOS上的Safari，你'；我已经在桌面上看到了Chrome#39；当我测试DigiCert'；s的网站检查人员暗示这是值得信赖的。

如果人类能够阅读和理解URL，并持续得出关于可信度的准确结论，我们就不会'；我不需要这样的浏览器控件。但他们可以'；T

我对认证机构销售电动汽车证书或印章没有任何问题，我的问题是当他们误导消费者，让他们相信他们确实做了他们不做的事情'；我对那些在那些已经拥有越来越复杂的网络事物的组织中负责使用的穷人感到同情，也不必处理来自现任玩家试图将生命吸入死亡产品的误导性广告。随着QWAC周围的恶作剧（已经被斯科特·赫尔姆嘲笑，EFF称之为"；损害互联网安全"；）的出现，这一点也值得期待这为那些提供了

......