加密專家指Let's Encrypt發了近1.5萬張憑證予PayPal網釣網站

letsencrypt_1.jpg

Let's Encrypt迄今已發出超過2000萬張憑證,但專家指出該組織也發出近1.5萬張憑證予PayPal網釣網站。


SSL商店加密專家Vincent Lynch上周公布了一個令人驚訝的數字,宣稱免費憑證發行機構Let's Encrypt迄今已發行15,270個內含PayPal字樣的憑證,當中約有96.7%被用在網釣網站,意味著有14,766個網釣網站擁有與PayPal相關的憑證。

電子前線基金會(EFF)、Mozilla、Cisco、Akamai、IdenTrust與密西根大學研究人員在2014年創立了非營利的網際網路安全研究組織Internet Security Research Group(ISRG),為了推動加密通訊而設立Let's Encrypt憑證組織 ,提供免費且自動化的憑證服務,並把原本需要耗時數小時的憑證申請流程縮短到30秒。

Let's Encrypt於2016年1月正式啟動,截至去年底已發行超過2000萬張憑證,且最近每天的憑證發行量已達到100萬張。

Let's Encrypt的用意在於推動網路的加密傳輸,然而,免費且快速的憑證發行流程同樣也降低了駭客取得憑證的門檻。Lynch說,這原本就是Let's Encrypt當初最受質疑的部份,但Let's Encrypt卻認為扼止惡意網站並非憑證機構的責任。

Lynch是利用crt.sh搜尋引擎查找使用內含PayPal字樣的憑證,指出PayPal網釣網站泛濫的程度比原先以為的更嚴重。Lynch表示,全球網路正從HTTP遷移到HTTPS,Let's Encrypt雖然功不可沒,但由Let's Encrypt所發行的憑證加密了所有網站的傳輸,包含惡意網站在內。

Lynch擔心的是,過去安全社群都教育使用者要以HTTPS來辨別網站的安全性,然而,當網釣網站也擁有合法憑證並藉由HTTPS傳輸之後,使用者可能也會相信這些網站是合法且正當的。

除了PayPal之外,Lynch亦發現Let's Encrypt還發行了大量內含美國銀行(Bank of America)、Apple ID與Google等字樣的憑證。根據Bleeping Computer的報導,Let's Encrypt仍然堅持原來的立場,指出該機構的目標是建立百分之百的全球加密網路,他們不是內容警察,也缺乏可辨識網站內容安全性的資訊及驗證程序,因此強烈建議使用者透過Google的Safe Browsing或微軟的Smartscreen來保障網路上的瀏覽安全。




文章來源: iThome-陳曉莉 的 加密專家指Let's Encrypt發了近1.5萬張憑證予PayPal網釣網站