Let's Encrypt 向 PayPal 钓鱼网站签发了近 1.5 万个证书

背景介绍

我们知道，HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输，网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。

但是HTTPS协议需要到CA申请证书，一般免费证书很少，需要交费。为了帮助站长、开发人员们减轻压力加速推广，2015年Mozilla联盟思科等合作的Let’s Encrypt开源免费证书正式推出。

关于Let's Encrypt 

Let's Encrypt是一个由电子前哨基金会、Mozilla基金会、Akamai、密歇根大学、思科联合发起的一个项目。它旨在为站长提供一个免费的、完全自动化的证书申请过程，从而让整个互联网都能享受到HTTPS加密。

Let’s Encrypt的证书申请过程非常简单、安全、快速、自动化并且免费。Let’s Encrypt是一个中间CA，它的CA证书由IdenTrust签发。IdenTrust是一个Root CA，受到所有主流浏览器的信任。从2015年10月后，Let’s Encrypt的中间CA证书被chrome、Firefox、Microsoft Edge、Safari和Opera所信任。

Let's Encrypt危机

但是根据外媒报道称，近日研究人员发现，Let's Encrypt CA 已经向含有 “PayPal”一词的托管在钓鱼网站上的域名签发了近15000个证书。

加密专家Vincent Lynch表示，从去年3月份开始，Let's Encrypt CA 已经向含有 “PayPal”一词的域名或证书标识签发了 15270 个 SSL 证书，其中 14766(96.7%)个证书是签发给了托管在钓鱼网站上的域名。这些证书大部分是从2016年11月起发行的。

从2015年10月正式推出Let’s Encrypt开源免费证书，到2016年4月推出Beta版本，担心网络犯罪分子会因为恶意目的滥用Let’s Encrypt的恐惧真的成为了现实。此外，Lynch还指出，CA声称阻止恶意网站使用其证书并不是它的工作，这就意味着钓鱼者可以使用其证书，而不用担心被禁止。

他说，

尽管业界很多人担心这一问题，但是Let’s Encrypt的立场完全符合行业标准。无论如何，该政策加上可以提供免费证书确实为网络钓鱼者创造了非常有吸引力的环境。

3月初，加密专家敦促Let’s Encrypt停止发行PayPal证书，因为它们已经被用户网络钓鱼。当时，他估计大约已经发放出去了988份包含“PayPal”术语的证书，其中99.5%的证书正在被用于（或已经被用于）进行网络钓鱼。

现在，根据最新的统计数据显示，之前的数字可能被严重低估了，因为截至目前，Let's Encrypt CA 已经向含有 “PayPal”一词的域名或证书标识签发了 15270 个 SSL 证书，其中 14766个证书被用于网络钓鱼。根据对1000份证书进行随机抽样分析发现，被用于网络钓鱼的证书占据96.7%。

调查还发现，Let's Encrypt发行的PayPal证书数量从去年11月以来以每月1250的速度稳步增长。而就在11月当月就发行了1000份此类证书，数量是之前月份的两倍。因此，到2016年12月，Let's Encrypt发行的PayPal证书数量就达到了2530份，2017年1月达到3995份，2月达到5101份。

Lynch称，对于这种增长目前没有明确的原因解释，但是，这个月的发行量开始出现下降趋势。尽管如此，我们预计到今年年底将会发行出去2万多份PayPal证书。

网络钓鱼网站的使用寿命通常非常短暂，主要是因为它们被识别和阻止得相当快，这也就解释了为什么网络犯罪分子倾向于尽可能多的注册它们。让它们看起来尽可能合法是保持其使用寿命的有效途径之一。

Lynch指出，

鼓励使用HTTPS的各种举措也可能吸引钓鱼者。只有使用HTTPS的站点才能使用许多性能优势（如如HTTP / 2）。此外，使用有效的有效SSL证书的网站会被浏览器标识为可靠的UI指示器（所有浏览器中的挂锁图标，Chrome中的“安全”标签），这使得网络钓鱼网站看起来更加合法。

网络安全公司High-Tech Bridge首席执行官Ilia Kolochenko通过邮件发表的评论称，他同意，CA不应该对阻止恶意网站获取安全证书一事负责。他说，

我认为我们应该分开考虑HTTP流量加密和网站身份验证问题。Let's Encrypt的使命是将明文HTTP流量转换为加密的HTTPS流量，而且它们做得很好。尽管如此，他们还是应该考虑网络钓鱼者会大量滥用的问题，并至少执行一些基本的安全验证，例如拒绝包含流行品牌的域名的SSL证书。

据Kolochenko介绍，Web浏览器将HTTPS网站标记为可信赖的事实，其实是一个更大的问题，因为它们鼓励用户在没有任何正当理由的情况下盲目信任网站。
不过，他也担心加密所有网络流量的想法可能导致恶意软件能够更有效地绕过安全机制：他表示，

我很确定，如果我们看到有多少加密SSL证书被恶意软件用来泄露被盗的数据，结果将是相当可怕的。因此，很难预测Let’s Encrypt未来将如何制定增长策略，以防止网络犯罪分子滥用现象，实现网络更安全的愿望。

截至目前，Linux基金会（Let's Encrypt项目背后的组织）发言人尚未给出任何回应。