Let's Encrypt給釣魚網站頒發了1.5萬份安全證書
作者: jasminepeng
免費和開放的憑證授權 Let's Encrypt,給釣魚網站頒發了將近 15000 份包含了 “PayPal” 關鍵字的證書。
這是由加密專家 Vincent Lynch 發現的。他說,Let's Encrypt 去年簽發的包含 “PayPal” 關鍵字的 15,270 份安全證書中,有 96.7% 發給了釣魚網站。資料顯示[1],證書簽發高峰是從 2016 年 11 月開始的。
Let's Encrypt 出現的時間並不長。事實上,它是 2015 年 12 月進入公測,2016 年 4 月推出 beta 版。它提供服務的目的是通過加密網站用 TLS 保護使用者資料不被竊聽。這些證書是為使訪客確信網站的網頁是安全的。為釣魚網站發放證書,意味著 Let's Encrypt 證實這些網站的合法性。
Vincent Lynch 認為,提供免費證書的政策確實為釣魚網站創造了非常誘人的環境。
此報告發佈的幾周前,Lynch 請求 Let's Encrypt 停止簽發 PayPal 證書,因為這些證書被用於釣魚目的。那時,他估計包含 PayPal 的證書數量在 1000 以下。 顯然,現在根據他的完整調查,情況在迅速惡化。
“鼓勵 HTTPS 使用的各種動機對釣魚網站同樣有吸引力,有一些性能的好處 (例如 HTTP/2) 只對使用 HTTPS 的網站有效。此外,對使用有效 SSL 證書的網站,
Ilia Kolochenko,一家 Web 安全公司 High-Tech Bridge 的 CEO 認為,Let's Encrypt 本應該預見到對其服務的濫用,並採取一些至少很基本的驗證,例如拒絕包含流行品牌名的功能變數名稱申請 SSL 證書。
“加密所有 web 流量的想法仍有爭議,因為它允許惡意軟體輕鬆繞過各種安全機制,從而給最終用戶和公司帶來巨大損失。