多年以来，Apple、Firefox、Google 和 Microsoft 坚持不懈地指出，为了避免被骗，必须要看见浏览器的绿色挂锁才能认为该网站是安全的。可时至今日，光有绿色挂锁是远远不够的。

DigiCert 高级总监 Dean Coclin 认为，在所有主流浏览器都显著增加了绿色挂锁安全提示后，很多犯罪分子也转向使用了，简直无法再继续相信了。

近日，反网络钓鱼工作组（APWG）发布的研究报告显示，2020 年第二季度的网络钓鱼攻击大幅上升，攻击中涉及很多使用 TLS 的恶意网站。

证书滥用激增

根据 APWG 的研究报告，第二季度有 80% 的钓鱼网站启用了 SSL 证书。攻击范围从虚假银行网站到社交网站 Facebook 和 WhatsApp，链接地址都指向恶意网站。

多年来，滥用证书一直困扰着整个行业。自从浏览器在地址栏中增加了 SSL 的安全警告后，网络犯罪分子一直在使用 SSL/TLS 挂锁。

网络钓鱼

相比域名验证证书只确认申请人是否拥有对域名的控制权，扩展验证和组织验证证书被认为更加安全。这些更高级别的证书需要对申请人进行更广泛的审查以确认其身份，但是 APWG 的研究报告显示，扩展验证证书也没有那么值得信赖了。

报告显示：“第二季度观察到使用扩展验证证书的钓鱼网站越来越多”。根据 APWG 的报告统计，网络钓鱼使用的证书中 91% 经过了域名验证。数字风险保护公司 PhishLabs 创始人 John LaCour 也提出，令人感兴趣的是还发现了 27 个使用扩展验证证书的钓鱼网站。

利用扩展验证证书的攻击者并没有通过合法的渠道获得证书，而是入侵了已经拥有合法证书的网站。毫无戒心的用户可能会认为他们正在与值得信赖的网站进行通信，网站已经经过证书颁发机构的验证，而没有意识到这些证书是被劫持的。CoClin 表示，真正需要的是对域名注册系统进行全面审查，其他都是权宜之计。

参考来源

ThreatPost