免费和开放的证书颁发机构 Let’s Encrypt,给钓鱼网站颁发了将近 15000 份包含了 “PayPal” 关键字的证书。
这是由加密专家 Vincent Lynch 发现的。他说,Let’s Encrypt 去年签发的包含 “PayPal” 关键字的 15,270 份安全证书中,有 96.7% 发给了钓鱼网站。数据显示,证书签发高峰是从 2016 年 11 月开始的。
Let’s Encrypt 出现的时间并不长。事实上,它是 2015 年 12 月进入公测,2016 年 4 月推出 beta 版。它提供服务的目的是通过加密网站用 TLS 保护用户数据不被窃听。这些证书是为使访客确信站点的网页是安全的。为钓鱼网站发放证书,意味着 Let’s Encrypt 证实这些站点的合法性。
Vincent Lynch 认为,提供免费证书的政策确实为钓鱼网站创造了非常诱人的环境。
此报告发布的几周前,Lynch 请求 Let’s Encrypt 停止签发 PayPal 证书,因为这些证书被用于钓鱼目的。那时,他估计包含 PayPal 的证书数量在 1000 以下。 显然,现在根据他的完整调查,情况在迅速恶化。
“鼓励 HTTPS 使用的各种动机对钓鱼网站同样有吸引力,有一些性能的好处 (例如 HTTP/2) 只对使用 HTTPS 的站点有效。此外,对使用有效 SSL 证书的站点,浏览器也会给出信任的 UI 提示(如 Chrome 中的安全标签,浏览器的小锁图标等),这些都使钓鱼网站看起来更合法”,Lynch 在报告中写道。
Ilia Kolochenko,一家 Web 安全公司 High-Tech Bridge 的 CEO 认为,Let’s Encrypt 本应该预见到对其服务的滥用,并采取一些至少很基本的验证,例如拒绝包含流行品牌名的域名申请 SSL 证书。
“加密所有 web 流量的想法仍有争议,因为它允许恶意软件轻松绕过各种安全机制,从而给最终用户和公司带来巨大损失。我很确信,如果我们可以看到有多少 Let’s Encrypt 的 SSL 证书被恶意软件利用来泄露盗窃的数据,结果肯定会是惊人的。因此,很难预期 Let’s Encrypt 未来将怎样调整其发展战略,避免它想使 web 更安全的愿望被网络罪犯滥用,”Kolochenko 说道。
原文地址:http://www.linuxprobe.com/news-fishing-certificate.html编辑:周阳,审核员:逄增宝