国产精品入口免费麻豆,成人精品一区二区三区电影黑人,欧美日韩一区二区三区高清不卡

揭秘HTTPS中S的另一面

責任編輯：editor005

作者：Alpha_h4ck

2017-04-14 15:00:52

摘自：黑客與極客

就在我們剛剛弄清楚瀏覽器地址欄中“HTTPS”的重要性時，垃圾郵件發送者和惡意攻擊者早就已經知道應該怎么將系統玩弄于股掌之間了。即使Google將某個域名標記為了惡意HTTPS釣魚網站，Let’s Encrypt也不會撤銷他們的證書。

就在我們剛剛弄清楚瀏覽器地址欄中“HTTPS”的重要性時，垃圾郵件發送者和惡意攻擊者早就已經知道應該怎么將系統玩弄于股掌之間了。

　　Let’s Encrypt

Let’s Encrypt是一款自動化服務，它可以利用證書來幫助用戶將此前未加密的URL地址轉換成經過加密且安全系數更高的HTTPS地址。這就非常棒了，尤其是在這個證書價格貴過黃金的年代，很多永和根本負擔不起這樣的開銷。所以由此不難看出，Let’s Encrypt在提升網絡安全性和用戶體驗度方面毫無疑問地做出了巨大的貢獻。

但是，Let’s Encrypt也給安全技術部門帶來了很大的麻煩。因為這是一個免費服務，而且任何小白都可以輕松地將HTTPS引入自己的網站中，而網絡犯罪分子同樣可以利用Let’s Encrypt來欺騙廣大善良的互聯網用戶。

當一個網站使用的是HTTPS，那么不僅用戶會認為自己可以信任這個網站（因為使用了加密鏈接），而且類似Google Chrome這樣的瀏覽器同樣會在地址欄前面顯示一個綠色的安全圖標以及“安全（Secure）”字樣。更加重要的是，很多隱私以及安全倡導者也在不停地敦促用戶當他們訪問一個網站時一定要確定這個網站地址欄擁有這樣的安全標志，因為他們認為只要有這種綠色安全標志的網站都是安全的。

　　安全隱患

可能各位同學看到這里會覺得世界非常的美好，但事實并非如此。實際上，Let’s Encrypt現在已經成為了網絡犯罪分子將釣魚網站“合法化”的利器，這對于我們來說絕對是一個噩耗，而對于那些僅僅只能通過地址欄的綠色標識來判斷網站安全性的用戶來說，他們的“后院”隨時都會起火。

根據證書經銷商The SSL Store提供的信息，在2016年1月1日之2017年3月6日這段時間里，Let’s Encrypt總共頒發了15270份包含有“PayPal”字樣的SSL證書。

需要提醒大家的是，The SSL Store僅僅是這些證書的一家提供商，所以Let’s Encrypt的使命并不是他們所真正關心的東西。而且根據他們提供的信息，上述絕大部分證書頒發于去年11月份，當時Let’s Encrypt幾乎每天都會頒發將近一百個“PayPal”證書。根據隨機抽查的數據顯示，其中有96.7%的證書被用于偽裝釣魚網站等惡意活動。這家經銷商表示，在研究人員調查偽造“PayPal”網站的過程中，他們還發現了很多其他的SSL釣魚網站，受影響的服務商包括美國銀行、Apple以及Google等。

這個問題已經存在了很多年了，而且目前的情況也是每況日下。在去年一月份，來自安全公司趨勢科技（Trend Micro）的研究人員就發現了一個惡意廣告活動，而這個活動主要針對的是那些使用了免費Let’s Encrypt證書的網站。當用戶訪問了惡意廣告之后，便會被重定向至另一個托管了Angler Exploit Kit的站點。當用戶訪問了一個惡意Web頁面之后，Angler將可以在用戶毫不知情的情況下讓目標主機感染惡意軟件，而且整個過程完全不需要任何的用戶交互。研究人員表示，超過50%的Angler所感染的都是勒索軟件，所以在這類活動中，絕大部分的攻擊者都是通過數據贖金來獲取非法受益的。

趨勢科技發現，這些惡意廣告背后的攻擊者在使用Let’s Encrypt申請HTTPS證書之前，還需要創建一個看起來真實性足夠高的子域名，并以此來欺騙大部分的網上用戶。這樣一來，用戶就可以看到釣魚網站是擁有Let’s Encrypt證書的，這樣就會讓用戶認為這是一個合法并且安全的網站了。

任何技術都存在兩面性

一項優秀的技術誕生之后，即便它的設計初衷是好的，但它同樣有可能被網絡犯罪分子所利用，Let’s Encrypt也不例外。那么，我們為什么不能直接撤銷掉那些很明顯是偽造的PayPal證書呢？因為他們認為這并不是他們的問題。

Josh Aas是網絡安全研究組織（ISRG，即Let’s Encrypt項目的管理方）的執行總裁，他在一月份接受InfoWorld的采訪時表示，Let’s Encrypt并不需要對現在的HTTPS信任問題承擔任何的責任，而且目前的證書頒發系統也無法完全幫助用戶去抵御釣魚網站以及惡意軟件。Let’s Encrypt官方也將這個問題推給了Google、Firefox以及Safari等瀏覽器安全團隊。因為Aas認為，瀏覽器的反釣魚和反惡意軟件機制相比證書頒發商而言則更加成熟和有效。

但是，即使Google將某個域名標記為了惡意HTTPS釣魚網站，Let’s Encrypt也不會撤銷他們的證書。因此，我們現在已經不能再通過瀏覽器地址欄前面的綠色標志以及“Secure”標記來判斷一個網站是否安全了，這也意味著我們之前所做的相關安全普及工作也都白費了。

總結

我們應該盡可能地使用HTTPS，這一點毋庸置疑，但是我們并不能僅僅通過“HTTPS”就去判斷一個網站是否安全。因為廣大用戶真的應該知道，HTTPS并不等于合法跟安全，而這也只適用于前幾年的網絡環境。因此，我們應該在點擊某個鏈接之前，即使Chrome將這個鏈接標記為“安全”，我們也仍然要親自檢查鏈接的有效性以及地址中的單詞拼寫是否存在錯誤等因素，因為瀏覽器說它是安全的，它也并非真的安全，而這就是我們所處的網絡安全世界，任何人都有可能犯錯。

HTTPS Encrypt