更多互联网新鲜资讯、工作奇淫技巧关注原创【飞鱼在浪屿】（日更新）

什么是利用可信CA伪造证书。

虽然浏览器可以检测，伪造或伪造SSL证书的恶意网站。但是如果颁发证书的机构被攻击了，通过该机构生成了一些伪造证书，在这种情况下，浏览器不会发现证书有任何问题，因为CA信誉良好，给用户留下了他们正在访问的网站真实可靠且连接安全的印象。

讲得通俗一点就是，举个例子前段时间腾讯和老干妈的事情。腾讯游戏拿着一份盖有老干妈公章的合同，腾讯qq飞车投老干妈的广告。合约期到了老干妈迟迟却不交合同款。原来说是老干妈公章被人伪造了去做坏事。那么这个公章的公信力也就是相当于CA机构。利用公章的公信力去冒牌做坏事，也就是这里的钓鱼网站。

目前尚没有一种简便或有效的方式来实时审核或监视SS​​L证书，因此，当这些失误（恶意或其他方式）发生时，通常几周甚至几个月都不会检测到可疑证书并将其吊销。而且，这些类型的SSL错误步骤的发生频率越来越高。比如马来西亚下属证书颁发机构（DigiCert Sdn。Bhd。）错误地颁发了22个弱SSL证书，该证书可用于假冒网站和签名恶意软件。结果，主要的浏览器不得不撤回对DigiCert Sdn颁发的所有证书的信任。

检测工具

• crt.sh在线网站检测工具。比如下列网址是检测www.qq.com域名没到期但是被吊销的网站。https://crt.sh/?Identity=www.qq.com&exclude=expired
• Certstream（python，golang，java等库）是个谷歌推出的检查CA证书的工具，https://certstream.calidog.io/。运行基于该库写的程序，可以实时拉取钓鱼网站名单。

• phishing_catcher是个基于Certstream库封装的工具，https://github.com/x0rz/phishing_catcher。

git clone https://github.com/x0rz/phishing_catcher.git
cd phishing_catcher
pip install -r requirements.txt
./catch_phishing.py

钓鱼网站在《suspicious_domain_日期.log》这个文件下。