Let's Encrypt 向 PayPal 釣魚網站簽發了近 1.5 萬個證書
背景介紹
我們知道,HTTP協議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸,網景公司設計了SSL(Secure Sockets Layer)協議用於對HTTP協議傳輸的數據進行加密,從而就誕生了HTTPS。
但是HTTPS協議需要到CA申請證書,一般免費證書很少,需要交費。為了幫助站長、開發人員們減輕壓力加速推廣,2015年Mozilla聯盟思科等合作的Let』s Encrypt開源免費證書正式推出。
關於Lets Encrypt
Lets Encrypt是一個由電子前哨基金會、Mozilla基金會、Akamai、密歇根大學、思科聯合發起的一個項目。它旨在為站長提供一個免費的、完全自動化的證書申請過程,從而讓整個互聯網都能享受到HTTPS加密。
Let』s Encrypt的證書申請過程非常簡單、安全、快速、自動化並且免費。Let』s Encrypt是一個中間CA,它的CA證書由IdenTrust簽發。IdenTrust是一個Root CA,受到所有主流瀏覽器的信任。從2015年10月後,Let』s Encrypt的中間CA證書被chrome、Firefox、Microsoft Edge、Safari和Opera所信任。
Lets Encrypt危機
但是根據外媒報道稱,近日研究人員發現,Lets Encrypt CA 已經向含有 「PayPal」一詞的託管在釣魚網站上的域名簽發了近15000個證書。
加密專家Vincent Lynch表示,從去年3月份開始,Lets Encrypt CA 已經向含有 「PayPal」一詞的域名或證書標識簽發了 15270 個 SSL 證書,其中 14766(96.7%)個證書是簽發給了託管在釣魚網站上的域名。這些證書大部分是從2016年11月起發行的。
從2015年10月正式推出Let』s Encrypt開源免費證書,到2016年4月推出Beta版本,擔心網路犯罪分子會因為惡意目的濫用Let』s Encrypt的恐懼真的成為了現實。此外,Lynch還指出,CA聲稱阻止惡意網站使用其證書並不是它的工作,這就意味著釣魚者可以使用其證書,而不用擔心被禁止。
他說,
儘管業界很多人擔心這一問題,但是Let』s Encrypt的立場完全符合行業標準。無論如何,該政策加上可以提供免費證書確實為網路釣魚者創造了非常有吸引力的環境。
3月初,加密專家敦促Let』s Encrypt停止發行PayPal證書,因為它們已經被用戶網路釣魚。當時,他估計大約已經發放出去了988份包含「PayPal」術語的證書,其中99.5%的證書正在被用於(或已經被用於)進行網路釣魚。
現在,根據最新的統計數據顯示,之前的數字可能被嚴重低估了,因為截至目前,Lets Encrypt CA 已經向含有 「PayPal」一詞的域名或證書標識簽發了 15270 個 SSL 證書,其中 14766個證書被用於網路釣魚。根據對1000份證書進行隨機抽樣分析發現,被用於網路釣魚的證書佔據96.7%。
調查還發現,Lets Encrypt發行的PayPal證書數量從去年11月以來以每月1250的速度穩步增長。而就在11月當月就發行了1000份此類證書,數量是之前月份的兩倍。因此,到2016年12月,Lets Encrypt發行的PayPal證書數量就達到了2530份,2017年1月達到3995份,2月達到5101份。
Lynch稱,對於這種增長目前沒有明確的原因解釋,但是,這個月的發行量開始出現下降趨勢。儘管如此,我們預計到今年年底將會發行出去2萬多份PayPal證書。
網路釣魚網站的使用壽命通常非常短暫,主要是因為它們被識別和阻止得相當快,這也就解釋了為什麼網路犯罪分子傾向於盡可能多的註冊它們。讓它們看起來儘可能合法是保持其使用壽命的有效途徑之一。
Lynch指出,
鼓勵使用HTTPS的各種舉措也可能吸引釣魚者。只有使用HTTPS的站點才能使用許多性能優勢(如如HTTP / 2)。此外,使用有效的有效SSL證書的網站會被瀏覽器標識為可靠的UI指示器(所有瀏覽器中的掛鎖圖標,Chrome中的「安全」標籤),這使得網路釣魚網站看起來更加合法。
網路安全公司High-Tech Bridge首席執行官Ilia Kolochenko通過郵件發表的評論稱,他同意,CA不應該對阻止惡意網站獲取安全證書一事負責。他說,
我認為我們應該分開考慮HTTP流量加密和網站身份驗證問題。Lets Encrypt的使命是將明文HTTP流量轉換為加密的HTTPS流量,而且它們做得很好。儘管如此,他們還是應該考慮網路釣魚者會大量濫用的問題,並至少執行一些基本的安全驗證,例如拒絕包含流行品牌的域名的SSL證書。
據Kolochenko介紹,Web瀏覽器將HTTPS網站標記為可信賴的事實,其實是一個更大的問題,因為它們鼓勵用戶在沒有任何正當理由的情況下盲目信任網站。
不過,他也擔心加密所有網路流量的想法可能導致惡意軟體能夠更有效地繞過安全機制:他表示,我很確定,如果我們看到有多少加密SSL證書被惡意軟體用來泄露被盜的數據,結果將是相當可怕的。因此,很難預測Let』s Encrypt未來將如何制定增長策略,以防止網路犯罪分子濫用現象,實現網路更安全的願望。
截至目前,Linux基金會(Lets Encrypt項目背後的組織)發言人尚未給出任何回應。
本文參考來源於securityweek,如若轉載,請註明來源於嘶吼:tLet』s Encrypt 向 PayPal 釣魚網站簽發了近 1.5 萬個證書 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀: