在以往的网购指南中，往往推荐用户访问带有“安全锁”（Chrome 68开始默认不显示，所有HTTP网页标记不安全）的电商网站，可以极大地免受网络钓鱼攻击或者恶意软件陷阱。然而不幸的是，这条推荐的意义已经不大了。最新研究结果表明，一半的钓鱼欺诈行为现在都托管在以“https://”开头标记有安全锁的网页上。

...

由于使用了旧的安全证书，互联网上的数千个网站将会在谷歌发布 Chrome 70 后受到影响 —— 访问这些网站的用户将会收到浏览器提示的安全警告。这是因为 Google 已放弃对赛门铁克在2016年6月之前发布的 HTTPS 安全证书的信任。

...

在周三于拉斯维加斯举行的黑帽网络安全会议上，“谷歌安全公主”Parisa Tabriz 发表了主题演讲，期间讨论了与网络安装状况有关的问题。其主旨是，在线安全不应该是用户关注的重点所在，所以科技巨头们需要作出更多的努力。人们在日常生活中，一直被网络攻击的阴霾所笼罩，比如黑客会以电子邮件、信用卡、甚至政治为目标，由此带来了许多安全顾虑。

...

备受欢迎的安全证书颁发机构 Let's Encrypt 宣布，当前它已经为超过 1 亿个网站保驾护航，而且这个数字还在持续增长。仅在上个月，使用 HTTPS 保护的站点数量就增加了 2400 万。一天前，Google 刚刚宣布 —— 从 Chrome 68 开始，该浏览器将正式向所有不安全的 HTTP 站点开炮。

...

据外媒 bleepingcomputer 5月17日报道，谷歌正计划停止在地址栏中标记 HTTPS 页面为“安全”站点，换句话说，在没有发现异常的情况下，所有 HTTPS 的站点都会默认为安全，此举将于今年9月份发布的Chrome 69生效。

...

苹果公司为 WebKit 框架添加了新的保护措施，以防止可能滥用 HTTP 严格传输安全（HSTS）安全标准来跟踪用户。HSTS 提供了一种机制，通过这种机制，网站只能通过安全连接和直接浏览器访问安全版本所在的位置来声明自己。 基本上，当用户尝试连接到网站的不安全版本时，HSTS 强制浏览器转到网站的 HTTPS 版本。

...

虽然 HTTPS 的使用有助于保障互联网用户在浏览器和网站之间的数据安全，但越来越多的网络钓鱼方案正在利用人们对绿色小挂锁的无知。网络钓鱼防范公司 PhishLabs 近期发布了一个新的报告，显示在 HTTPS 页面上托管钓鱼网站的速度明显快于整个 HTTPS 的采用速度。

...

Chrome 和 Firefox 主要浏览器开发商正致力推动 Web 的 HTTPS，逐渐采取措施对 HTTP 网页显示不安全警告。

据悉，Chrome 从 4 月开始对输入密码或信用卡号码的 HTTP 网页显示不安全警告。从今年 10 月开始，Chrom 62 将会增加两种不安全警告的显示情况：用户在 HTTP 页面输入数据，或者在隐身模式下浏览 HTTP 网页。Google 最终计划将所有 HTTP 网页标记为不安全。

...

据外媒 6 月 19 日报道，McAfee Labs 安全研究人员发现一款新型银行恶意软件 Pinkslipbot（又名：QakBot / QBot）可使用复杂多级代理通过 “HTTPS 控制服务器”通信。

Pinkslipbot 最初于 2009 年被赛门铁克检测曝光，是首款利用受感染机器作为 HTTPS 控制服务器的恶意软件。此外，Pinkslipbot 还是一款具有后门功能的爬虫，可在采集登录凭证的僵尸网络中聚集受感染设备。近期，Pinkslipbot 变种新增了高级规避检测功能。

安全专家注意到，Pinkslipbot 使用通用即插即用（UPnP）功能为目标设备提供路径，以感染恶意软件 IP 地址列表中提供的 HTTPS 服务器。这些设备充当 HTTP 代理并将路径传输至另一层 HTTPS 代理，能够允许对真实的 C＆C 服务器 IP 地址进行伪装。

...