超过14K的Let’s Encrypt加密SSL证书发给了PayPal钓鱼网站

在过去的2016年中,Let’s Encrypt共发出了15,270个域名或证书身份中包含“PayPal”的SSL证书,其中大约14,766(96.7%)是网络钓鱼网站。钓鱼网站滥用Let’s Encrypt的基础设施,Let’s Encrypt正在改名为“Let’s Phish”!

HTTPS意味着“加密的通信渠道”,而不一定是目的地网站是安全的。回到2015年,Let’s Encrypt在一篇博文中明确表示,它不打算成为互联网的HTTPS看门狗,您将paypal.com与playpal.com混淆的事实不是SSL加密的问题。

安全专家Eric Lawrence认为浏览器厂商也造成了一些责任:例如,Internet Explorer 不主动检查证书撤销,Chrome不关心网站上的内容或证书类型。如果站点已经以正确的方式安装了SSL证书,它将以绿色显示“安全”指示,无论其目的如何。

from:Slashdot

Tagged , .

发表评论

电子邮件地址不会被公开。 必填项已用*标注