揭秘HTTPS中 S 的另一面

Posted 2021-04-30 FreeBuf

Let’s Encrypt

但是，Let’s Encrypt也给安全技术部门带来了很大的麻烦。因为这是一个免费服务，而且任何小白都可以轻松地将HTTPS引入自己的网站中，而网络犯罪分子同样可以利用Let’s Encrypt来欺骗广大善良的互联网用户。

安全隐患

根据证书经销商提供的信息，在2016年1月1日之2017年3月6日这段时间里，Let’s Encrypt总共颁发了15270份包含有“PayPal”字样的SSL证书。

需要提醒大家的是，The SSL Store仅仅是这些证书的一家提供商，所以Let’s Encrypt的使命并不是他们所真正关心的东西。而且根据他们提供的信息，上述绝大部分证书颁发于去年11月份，当时Let’s Encrypt几乎每天都会颁发将近一百个“PayPal”证书。根据随机抽查的数据显示，其中有96.7%的证书被用于伪装钓鱼网站等恶意活动。这家经销商表示，在研究人员调查伪造“PayPal”网站的过程中，他们还发现了很多其他的SSL钓鱼网站，受影响的服务商包括美国银行、Apple以及Google等。

这个问题已经存在了很多年了，而且目前的情况也是每况日下。在去年一月份，来自安全公司趋势科技（Trend Micro）的研究人员就发现了一个恶意广告活动，而这个活动主要针对的是那些使用了免费Let’s Encrypt证书的网站。当用户访问了恶意广告之后，便会被重定向至另一个托管了的站点。

当用户访问了一个恶意Web页面之后，Angler将可以在用户毫不知情的情况下让目标主机感染恶意软件，而且整个过程完全不需要任何的用户交互。研究人员表示，超过50%的Angler所感染的都是勒索软件，所以在这类活动中，绝大部分的攻击者都是通过数据赎金来获取非法受益的。

趋势科技发现，这些恶意广告背后的攻击者在使用Let’s Encrypt申请HTTPS证书之前，还需要创建一个看起来真实性足够高的子域名，并以此来欺骗大部分的网上用户。这样一来，用户就可以看到钓鱼网站是拥有Let’s Encrypt证书的，这样就会让用户认为这是一个合法并且安全的网站了。

任何技术都存在两面性

一项优秀的技术诞生之后，即便它的设计初衷是好的，但它同样有可能被网络犯罪分子所利用，Let’s Encrypt也不例外。那么，我们为什么不能直接撤销掉那些很明显是伪造的PayPal证书呢？因为他们认为这并不是他们的问题。

Josh Aas是网络安全研究组织（ISRG，即Let’s Encrypt项目的管理方）的执行总裁，他在一月份接受InfoWorld的采访时表示，Let’s Encrypt并不需要对现在的HTTPS信任问题承担任何的责任，而且目前的证书颁发系统也无法完全帮助用户去抵御钓鱼网站以及恶意软件。Let’s Encrypt官方也将这个问题推给了Google、Firefox以及Safari等浏览器安全团队。因为Aas认为，浏览器的反钓鱼和反恶意软件机制相比证书颁发商而言则更加成熟和有效。

总结

* 参考来源：， FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM