警惕免费HTTPS认证服务被滥用

当前,为了应对日益恶化的互联网环境,各大网站纷纷向HTTPS(超文本加密传输协议)上过渡,不过鉴于对网站服务器主机进行HTTPS认证需要支付一定的认证费用,导致很多网站由于没有预算向HTTPS认证机构提出申请而无法升级HTTPS。

警惕免费HTTPS认证服务被滥用


警惕免费HTTPS认证服务被滥用

对此,非营利网络认证发放机构Let's Encrypt在此前就推出了开源免费的HTTPS认证服务。不过,近期有专家发现,Let's Encrypt发放的认证证书有被滥用的趋势。据统计,迄今已发行15270个内含PayPal字样的证书,当中约有96.7%被用于钓鱼网站,这表示约有14766个钓鱼网站已经拥有与PayPal相关的证书。

据悉,Let's Encrypt是由电子前哨基金会(Electronic Frontier Foundation)联合Mozilla、Google、微软、苹果等巨头共同设立的HTTPS认证组织,由公益公司Internet Security Research Group(ISRG)负责营运。通过其提供免费且自动化的证书服务,还可把原本需要耗时数小时的证书申请流程缩短至30秒。

Let's Encrypt于2016年1月正式启动,截至去年底已发行超过2000万张证书,近期,每天的凭证发行量已达到100万张。然而,免费且快速的证书发行流程同样也降低了不法黑客取得证书的门槛。

研究人员发现,利用crt.sh搜寻引擎查找使用内含PayPal字样的证书后发现,PayPal钓鱼网站的泛滥程度远比设想的更加严重。由Let's Encrypt发行的证书虽然加密了网站的传输内容,但不幸的是,这也包括了恶意网站在内。

除了PayPal之外,研究人员发现Let's Encrypt还发行了大量包含美国银行(Bank of America)、Apple ID与Google等字样的证书,为互联网用户带来威胁。由于Let's Encrypt并不具备内容审查权限,同时也缺乏可辨识网站内容安全性的资讯及验证程序,因此只能建议互联网用户通过Google的Safe Browsing或微软的Smartscreen来保障网络上的浏览安全了。