Firefox 用户看过来！弱化 EV 证书后，出现的魔幻案例

Chrome 显示为 https://xn--80aa0cbo65f.com

cool

network.IDN_show_punycode 设置为 true。

之前不是有人注册了一个看起来跟苹果网站一样的域名来说明这个问题了么，后来 Chrome 域名显示就改成 punycode 了，Firefox 居然没改。

@eason1874 都改成 punycode 的话 .中国 这种域名就更卖不出去了——虽然本来就没人用

手机上看着还是有区别
i.imgur.com/KkBW8BO.jpg

chrome 一眼就看出区别了啊

@jadec0der #5 这种跟英文字母明显不一样的 Chrome 倒是没有转换。感觉让客户端解决这个问题，不如注册局直接禁止这种字符的使用。

这个时候就亮出了我的装 B 域名
http://ડ.com/

🎮binance 李鬼就是这么骗到不少人的

@lhx2008 原来注册几个都没续费， 留着吧， 可能以后都不能新注册这种了

恕我直言，弱化 ev 证书真的是智障设计，ev 证书显示个绿锁要命吗？

被 ESET 拦截了，不装安全软件可能真的注意不到😂

Paypal 会有地域的跳转，而且看小锁颜色也不一样不知道有什么区别

比较好的做法是一旦识别到这种带可疑字符格式的域名就自动打回原型。好像是其他浏览器在做的。

取消 EV 高亮的显示似乎是因为研究发现普通用户根本不看（虽然高级用户会看）： https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md#Further-Reading

有趣，两个 URL 地址不一样

一个是 https://paypal.com/
另外一个是 https://раураӏ.com/

由于字体的原因导致看起来类似，但是其实 pal 的 l 是不一样的，利用特殊字符导致字体比较类似，似乎又提供了一种 https 的攻击思路。


https://dev.to/logan/homographs-attack--5a1p 介绍的攻击原理

@nnnToTnnn
@codehz
@eason1874
@xiri

所以说，Firefox 蠢得要死，跟 Chrome 的风一起杠 EV。人家是要干赛门铁克，灭掉 EV，但是做得比 Safari 过分（ Safari 不显示公司信息但是有绿 bar ），怕面上不太好看，于是拉拢 Firefox，结果他们忘记自己家的 IDN 默认显示方式了，也跟着不显示绿锁……

@SharkIng 这里的李鬼只是一个实验网站，如果要是钓鱼站，做成一模一样也不是难事

@lhx2008
@nnnToTnnn

这类相似字符有非常之多，详细可看这里： http://www.unicode.org/Public/security/latest/confusables.txt

@dallaslu #17 其实 chrome 之前也有这个问题。。。后面针对相似字符处理了，但是 ff 没处理，就这么简单。。。