免费和开放的证书颁发机构 Let's Encrypt，给钓鱼网站颁发了将近 15000 份包含了 “PayPal” 关键字的证书。

这是由加密专家 Vincent Lynch 发现的。他说，Let's Encrypt 去年签发的包含 “PayPal” 关键字的 15,270 份安全证书中，有 96.7% 发给了钓鱼网站。数据显示，证书签发高峰是从 2016 年 11 月开始的。

Let's Encrypt 出现的时间并不长。事实上，它是 2015 年 12 月进入公测，2016 年 4 月推出 beta 版。它提供服务的目的是通过加密网站用 TLS 保护用户数据不被窃听。这些证书是为使访客确信站点的网页是安全的。为钓鱼网站发放证书，意味着 Let's Encrypt 证实这些站点的合法性。

Vincent Lynch 认为，提供免费证书的政策确实为钓鱼网站创造了非常诱人的环境。

此报告发布的几周前，Lynch 请求 Let's Encrypt 停止签发 PayPal 证书，因为这些证书被用于钓鱼目的。那时，他估计包含 PayPal 的证书数量在 1000 以下。 显然，现在根据他的完整调查，情况在迅速恶化。

“鼓励 HTTPS 使用的各种动机对钓鱼网站同样有吸引力，有一些性能的好处 (例如 HTTP/2) 只对使用 HTTPS 的站点有效。此外，对使用有效 SSL 证书的站点，浏览器也会给出信任的 UI 提示（如 Chrome 中的安全标签，浏览器的小锁图标等），这些都使钓鱼网站看起来更合法”，Lynch 在报告中写道。

Ilia Kolochenko，一家 Web 安全公司 High-Tech Bridge 的 CEO 认为，Let's Encrypt 本应该预见到对其服务的滥用，并采取一些至少很基本的验证，例如拒绝包含流行品牌名的域名申请 SSL 证书。

“加密所有 web 流量的想法仍有争议，因为它允许恶意软件轻松绕过各种安全机制，从而给最终用户和公司带来巨大损失。我很确信，如果我们可以看到有多少 Let’s Encrypt 的 SSL 证书被恶意软件利用来泄露盗窃的数据，结果肯定会是惊人的。因此，很难预期 Let’s Encrypt 未来将怎样调整其发展战略，避免它想使 web 更安全的愿望被网络罪犯滥用，”Kolochenko 说道。

原文来自：https://linux.cn/article-8355-1.html

本文地址：https://www.linuxprobe.com/news-fishing-certificate.html编辑：周阳，审核员：逄增宝

本文原创地址：https://www.linuxprobe.com/news-fishing-certificate.html编辑：public，审核员：暂无