Let's Encrypt
Let's Encrypt是一款自动化服务,它可以利用证书来帮助用户将此前未加密的URL地址转换成经过加密且安全系数更高的HTTPS地址。这就非常棒了,尤其是在这个证书价格贵过黄金的年代,很多永和根本负担不起这样的开销。所以由此不难看出,Let's Encrypt在提升网络安全性和用户体验度方面毫无疑问地做出了巨大的贡献。
但是,Let's Encrypt也给安全技术部门带来了很大的麻烦。因为这是一个免费服务,而且任何小白都可以轻松地将HTTPS引入自己的网站中,而网络犯罪分子同样可以利用Let's Encrypt来欺骗广大善良的互联网用户。
当一个网站使用的是HTTPS,那么不仅用户会认为自己可以信任这个网站(因为使用了加密链接),而且类似Google Chrome这样的浏览器同样会在地址栏前面显示一个绿色的安全图标以及"安全(Secure)"字样。更加重要的是,很多隐私以及安全倡导者也在不停地敦促用户当他们访问一个网站时一定要确定这个网站地址栏拥有这样的安全标志,因为他们认为只要有这种绿色安全标志的网站都是安全的。
安全隐患
可能各位同学看到这里会觉得世界非常的美好,但事实并非如此。实际上,Let's Encrypt现在已经成为了网络犯罪分子将钓鱼网站"合法化"的利器,这对于我们来说绝对是一个噩耗,而对于那些仅仅只能通过地址栏的绿色标识来判断网站安全性的用户来说,他们的"后院"随时都会起火。
根据证书经销商The SSL Store提供的信息,在2016年1月1日之2017年3月6日这段时间里,Let's Encrypt总共颁发了15270份包含有"PayPal"字样的SSL证书。
需要提醒大家的是,The SSL Store仅仅是这些证书的一家提供商,所以Let's Encrypt的使命并不是他们所真正关心的东西。而且根据他们提供的信息,上述绝大部分证书颁发于去年11月份,当时Let's Encrypt几乎每天都会颁发将近一百个"PayPal"证书。根据随机抽查的数据显示,其中有96.7%的证书被用于伪装钓鱼网站等恶意活动。这家经销商表示,在研究人员调查伪造"PayPal"网站的过程中,他们还发现了很多其他的SSL钓鱼网站,受影响的服务商包括美国银行、Apple以及Google等。
这个问题已经存在了很多年了,而且目前的情况也是每况日下。在去年一月份,来自安全公司趋势科技(Trend Micro)的研究人员就发现了一个恶意广告活动,而这个活动主要针对的是那些使用了免费Let's Encrypt证书的网站。当用户访问了恶意广告之后,便会被重定向至另一个托管了Angler Exploit Kit的站点。当用户访问了一个恶意Web页面之后,Angler将可以在用户毫不知情的情况下让目标主机感染恶意软件,而且整个过程完全不需要任何的用户交互。研究人员表示,超过50%的Angler所感染的都是勒索软件,所以在这类活动中,绝大部分的攻击者都是通过数据赎金来获取非法受益的。
趋势科技发现,这些恶意广告背后的攻击者在使用Let's Encrypt申请HTTPS证书之前,还需要创建一个看起来真实性足够高的子域名,并以此来欺骗大部分的网上用户。这样一来,用户就可以看到钓鱼网站是拥有Let's Encrypt证书的,这样就会让用户认为这是一个合法并且安全的网站了。
任何技术都存在两面性
一项优秀的技术诞生之后,即便它的设计初衷是好的,但它同样有可能被网络犯罪分子所利用,Let's Encrypt也不例外。那么,我们为什么不能直接撤销掉那些很明显是伪造的PayPal证书呢?因为他们认为这并不是他们的问题。
Josh Aas是网络安全研究组织(ISRG,即Let's Encrypt项目的管理方)的执行总裁,他在一月份接受InfoWorld的采访时表示,Let's Encrypt并不需要对现在的HTTPS信任问题承担任何的责任,而且目前的证书颁发系统也无法完全帮助用户去抵御钓鱼网站以及恶意软件。Let's Encrypt官方也将这个问题推给了Google、Firefox以及Safari等浏览器安全团队。因为Aas认为,浏览器的反钓鱼和反恶意软件机制相比证书颁发商而言则更加成熟和有效。
但是,即使Google将某个域名标记为了恶意HTTPS钓鱼网站,Let's Encrypt也不会撤销他们的证书。因此,我们现在已经不能再通过浏览器地址栏前面的绿色标志以及"Secure"标记来判断一个网站是否安全了,这也意味着我们之前所做的相关安全普及工作也都白费了。
总结
我们应该尽可能地使用HTTPS,这一点毋庸置疑,但是我们并不能仅仅通过"HTTPS"就去判断一个网站是否安全。因为广大用户真的应该知道,HTTPS并不等于合法跟安全,而这也只适用于前几年的网络环境。因此,我们应该在点击某个链接之前,即使Chrome将这个链接标记为"安全",我们也仍然要亲自检查链接的有效性以及地址中的单词拼写是否存在错误等因素,因为浏览器说它是安全的,它也并非真的安全,而这就是我们所处的网络安全世界,任何人都有可能犯错。