Let's Encrypt每天憑證發行量達到100萬張、發了近1.5萬張憑證予PayPal網釣網站

加密專家指Let's Encrypt發了近1.5萬張憑證予PayPal網釣網站

SSL商店加密專家Vincent Lynch上周公布了一個令人驚訝的數字,宣稱免費憑證發行機構Let's Encrypt迄今已發行15,270個內含PayPal字樣的憑證,當中約有96.7%被用在網釣網站,意味著有14,766個網釣網站擁有與PayPal相關的憑證。

電子前線基金會(EFF)、Mozilla、Cisco、Akamai、IdenTrust與密西根大學研究人員在2014年創立了非營利的網際網路安全研究組織Internet Security Research Group(ISRG),為了推動加密通訊而設立Let's Encrypt憑證組織 ,提供免費且自動化的憑證服務,並把原本需要耗時數小時的憑證申請流程縮短到30秒。

Let's Encrypt於2016年1月正式啟動,截至去年底已發行超過2000萬張憑證,且最近每天的憑證發行量已達到100萬張。

Let's Encrypt的用意在於推動網路的加密傳輸,然而,免費且快速的憑證發行流程同樣也降低了駭客取得憑證的門檻。Lynch說,這原本就是Let's Encrypt當初最受質疑的部份,但Let's Encrypt卻認為扼止惡意網站並非憑證機構的責任。

Lynch是利用crt.sh搜尋引擎查找使用內含PayPal字樣的憑證,指出PayPal網釣網站泛濫的程度比原先以為的更嚴重。Lynch表示,全球網路正從HTTP遷移到HTTPS,Let's Encrypt雖然功不可沒,但由Let's Encrypt所發行的憑證加密了所有網站的傳輸,包含惡意網站在內。

Lynch擔心的是,過去安全社群都教育使用者要以HTTPS來辨別網站的安全性,然而,當網釣網站也擁有合法憑證並藉由HTTPS傳輸之後,使用者可能也會相信這些網站是合法且正當的。

除了PayPal之外,Lynch亦發現Let's Encrypt還發行了大量內含美國銀行(Bank of America)、Apple ID與Google等字樣的憑證。根據Bleeping Computer的報導,Let's Encrypt仍然堅持原來的立場,指出該機構的目標是建立百分之百的全球加密網路,他們不是內容警察,也缺乏可辨識網站內容安全性的資訊及驗證程序,因此強烈建議使用者透過Google的Safe Browsing或微軟的Smartscreen來保障網路上的瀏覽安全。


很顯然不是只有「Let's Encrypt」隨便亂發行,連「賽門鐵克」也是一樣!yell

賽門鐵克坦承誤發3萬個Google.com延伸驗證憑證Extended Validation,EV

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Let's Encrypt明年將推免費的通用憑證,加速HTTPS採用

專門提供免費憑證服務的Let's Encrypt周四(7/6)宣布,預計於明年1月開始發行免費的通用憑證(wildcard certificate),以加速推動全球網路全面採用HTTPS加密通訊的目標。

通用憑證為一公鑰憑證,相較於只能覆蓋特定網域的DV憑證,通用憑證適用於特定網域的所有子網域,例如當以 *.example.com申請通用憑證時,不管是www example.com、payment example.com或login example.com都在該憑證的保障下。

自2015年12月開始提供自動化的DV(Domain Validation,網域驗證)憑證發行服務以來,Let's Encrypt迄今已發行逾1億張憑證,保障了4700萬個網域,在這期間全球加密網頁的比例也從40%增加到58%,而Let's Encrypt的目標則是創造百分之百的加密網頁。

Let's Encrypt指出,通用憑證將允許管理人員只使用一張憑證與單一網域的金鑰就能管理所有的子網域,將可大幅簡化HTTPS的部署。


保障了4700萬個網域?think真的有這麼多的「網域」?undecided該不會裡面有一半都是「駭客網域」吧?yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏