Il lucchetto è solo un indicatore visivo utilizzato dal browser per mostrare che il traffico viene crittografato quando inviato e ricevuto dal server. Rappresenta un certificato SSL ma per questa risposta possiamo semplicemente usare il termine lucchetto .
Il lucchetto non fa alcuna rivendicazione di attendibilità, mostra semplicemente se il traffico tra il computer e il server è crittografato, cioè non può essere visto (in testo chiaro) da altre persone che sniffano il traffico tra i due endpoint).
Infatti, molte volte gli hacker acquisteranno certificati SSL ( il lucchetto ) per crittografare il traffico per eludere i Sistemi di rilevamento delle intrusioni (IDS) e Intrusion Prevention Systems (IPS), quindi non vedere automaticamente il lucchetto uguale contenuto sicuro.
Raccomandazione
Invece di fare affidamento sul lucchetto, usa il filtro basato sulla reputazione e fai attenzione al dominio utilizzato nell'URI per evitare le truffe di social engineering / phishing che indirizzano a contenuti senza scrupoli.
- Esempi:
-
paypal.com != paypa1.com
-
google.com != g00gle.com
Aggiorna
Come notato nei commenti qui sotto, ci sono attacchi Man in the Middle (MitM) che possono ingannare una vittima nel pensare che si connettono a una fonte legittima ( Avvelenamento della cache DNS ), nonché sottigliezze nei set di caratteri della lingua ( attacchi omografi IDN ) che può assomigliare al set di caratteri in inglese (latino).
Credito: @iismathwizard