安全证书警告不起作用，研究人员说

每个网上冲浪者都看过他们。当您尝试访问安全的网站时，您有时会收到那些“无效证书”警告。

他们会说“这个网站的安全证书有问题”。如果你和大多数人一样，你可能会感到隐隐不安，根据卡内基梅隆大学研究人员发表的一篇新论文，你很可能会忽视这个警告并点击。

实验室实验中，研究人员发现，55％到100％的参与者忽略了证书安全警告，具体取决于他们使用的浏览器（不同的浏览器使用不同的语言来警告他们的用户）。[更多阅读：如何删除恶意软件你的Windows PC]

“大家都知道这些警告存在问题，”卡内基梅隆大学研究生Joshua Sunshine说，他是这篇论文的共同作者之一。 “我们的研究表明这个问题有多大。”

这不是一个好消息。由于网站上存在技术问题，通常会出现警告，但它们也可能意味着网上冲浪者被重定向到某个虚假的网站。安全网站的URL以“https”开头。

研究人员首先对400多名网友进行了在线调查，以了解他们对证书警告的看法。然后，他们将100人带到实验室，研究他们如何上网。

他们发现人们常常对证书警告有混淆的理解。例如，许多人认为他们在访问他们信任的网站时可能会忽略这些信息，但他们应该对不太可靠的网站更加警惕。“这对于这些信息的意义是一种倒退的理解，”Sunshine说。 “该消息验证您访问的是您认为您访问的网站，而不是该网站值得信赖。”

如果银行网站显示一条消息，指出其安全证书无效，那是一个非常糟糕的信号，安全专家说。这可能意味着网络冲浪者正在遭受所谓的中间人攻击。在这种类型的攻击中，犯罪分子将自己介入网络冲浪者和他所访问的网站之间，希望窃取信息。

安全专家早就知道这些安全警告是无效的，首席技术官Jeremiah Grossman说。网络安全咨询公司白帽安全。这是因为用户“真的不知道安全风险意味着什么”，他通过即时消息表示。 “所以他们冒险。”

在Firefox 3浏览器中，Mozilla尝试使用更简单的语言和更好的警告来获取错误的证书。浏览器使得忽略不良证书警告变得更加困难。在Carnegie Mellon实验室中，Firefox 3用户在显示警告后最不可能点击。

研究人员尝试了几次他们自己编写的重新设计的安全警告，这似乎更加有效。他们计划在8月14日在蒙特利尔的Usenix安全研讨会上报告他们的发现。

尽管如此，阳光认为更好的警告只会有很大的帮助。浏览器应该使用可以分析错误消息的系统，而不是警告。 “如果这些系统认为这可能是一次攻击，他们应该完全阻止用户，”他说。“

即使访问像银行这样的重要网站，”人们仍然极度忽视警告，“他说。