La maggior parte dei siti ha un certificato server chiamato anche certificato SSL che è firmato da un fornitore di certificati di terze parti attendibili (chiamato Autorità di certificazione). Il browser ha un elenco integrato di fornitori di certificati di terze parti (CA) autorizzati e se il sito che apri fornisce un certificato firmato da una di queste CA, il browser sa che si tratta di un sito sicuro.
La maggior parte dei siti di phishing non è in grado di ottenere un certificato CA valido, in quanto le CA non autorizzano un sito falso e questo è uno dei modi più semplici per trovare un sito creato per il phishing.
Va notato che molte aziende non ricevono un certificato CA per i propri siti Web interni e il browser potrebbe generare un avviso quando si accede a tali siti. Ma se sai che il sito è sicuro potresti ignorare questo avviso.
Inoltre, credo che alcuni browser possano anche controllare l'URL e identificare gli URL che sembrano falsi. Non sono sicuro di questo però.