皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

Let’s Encrypt 颁发15000 份欺诈安全证书

免费和开放的证书颁发机构 Let’s Encrypt,给钓鱼网站颁发了将近 15000 份包含了 “PayPal” 关键字的证书。

这是由加密专家 Vincent Lynch 发现的。他说,Let’s Encrypt 去年签发的包含 “PayPal” 关键字的 15,270 份安全证书中,有 96.7% 发给了钓鱼网站。数据显示,证书签发高峰是从 2016 年 11 月开始的。

Let’s Encrypt 出现的时间并不长。事实上,它是 2015 年 12 月进入公测,2016 年 4 月推出 beta 版。它提供服务的目的是通过加密网站用 TLS 保护用户数据不被窃听。这些证书是为使访客确信站点的网页是安全的。为钓鱼网站发放证书,意味着 Let’s Encrypt 证实这些站点的合法性。

Vincent Lynch 认为,提供免费证书的政策确实为钓鱼网站创造了非常诱人的环境。
Let's Encrypt 颁发15000 份欺诈安全证书

此报告发布的几周前,Lynch 请求 Let’s Encrypt 停止签发 PayPal 证书,因为这些证书被用于钓鱼目的。那时,他估计包含 PayPal 的证书数量在 1000 以下。 显然,现在根据他的完整调查,情况在迅速恶化。

“鼓励 HTTPS 使用的各种动机对钓鱼网站同样有吸引力,有一些性能的好处 (例如 HTTP/2) 只对使用 HTTPS 的站点有效。此外,对使用有效 SSL 证书的站点,浏览器也会给出信任的 UI 提示(如 Chrome 中的安全标签,浏览器的小锁图标等),这些都使钓鱼网站看起来更合法”,Lynch 在报告中写道。

Ilia Kolochenko,一家 Web 安全公司 High-Tech Bridge 的 CEO 认为,Let’s Encrypt 本应该预见到对其服务的滥用,并采取一些至少很基本的验证,例如拒绝包含流行品牌名的域名申请 SSL 证书。

“加密所有 web 流量的想法仍有争议,因为它允许恶意软件轻松绕过各种安全机制,从而给最终用户和公司带来巨大损失。我很确信,如果我们可以看到有多少 Let’s Encrypt 的 SSL 证书被恶意软件利用来泄露盗窃的数据,结果肯定会是惊人的。因此,很难预期 Let’s Encrypt 未来将怎样调整其发展战略,避免它想使 web 更安全的愿望被网络罪犯滥用,”Kolochenko 说道。

原文地址:http://www.linuxprobe.com/news-fishing-certificate.html编辑:周阳,审核员:逄增宝