Netcraft报告: let's encrypt和Comodo发布成千上万的网络钓鱼证书
来源:互联网 发布:微信手机商城源码 编辑:程序博客网 时间:2024/05/16 09:56
Netcraft调查显示,2017年1季度发现数以万计的有效SSL证书颁发给具有明显网络钓鱼和诈骗意图的域名,其中由let's encrypt和Comodo发布的免费SSL证书占到了96%。
在2017年1月1日到3月31日期间,Netcraft已经拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截,而不是拦截特定的子目录。在被完全拦截的网站中,61%使用了Let's Encrypt颁发的证书,36%使用了Comodo颁发的证书。
MozillaFirefox的遥测报告显示,大约55%的页面加载都是通过HTTPS。向安全互联网迁移对于防范未加密流量带来的风险至关重要,能够轻松获取到有效证书是近期HTTPS页面增长的关键因素。然而,利用HTTPS站点值得信赖的认知,轻松获取到有效证书也为欺诈者提供了机会,大量证书颁发给了明确具有欺诈性的域名也证明了这一点。
看看少量被拦截的欺诈指数较高的具有有效证书的钓鱼网站样本:
Let'sEncrypt在网络钓鱼和恶意软件方面的政策是检查安全浏览API,这不能对预签发的证书提供有效拦截。这和自动化证书部署并不匹配,因为在自动化证书部署时,在颁发和安装证书时,有关钓鱼的内容可能还未被上传、检测和拦截。Let's Encrypt还有一个有限的域名列表,他们会阻止向这些域名颁发证书。尽管有安全浏览检查和基于域名的额外拦截,但Netcraft还是发现很多钓鱼网站的证书是由Let's Encrypt颁发的。
钓鱼网站https://www.instagram.com-getid.com(欺诈性指数为9.46)
这些钓鱼网站对使用TLS是极其危险的,因为使用TLS的网站被看做可信站点,且由一些合法机构运营。消费者一直受到这样的指导:在向网站提交如密码和信用卡号等敏感信息前,在浏览器中寻找挂锁、安全指示标志和地址栏中的“https://”。
但是,仅显示挂锁或“安全(Secure)”指示标志并不意味着使用TLS的网站是可信的,或是由合法机构运营的。连接的安全性和向HTTPS站点提供敏感信息的安全性之间是有区别的,对那些不熟悉TLS技术基础的人来说,解释这个区别非常困难。
为了展示解释这种技术区别上的难度,谷歌Chrome浏览器通过在地址栏显示“安全(Secure)”这个单词来表明一个HTTPS连接使用的是有效的TLS证书。而“安全(secure)”这个单词是指,为防范窃听者而对加密连接进行保护,并通过在下拉菜单显示“私有”这个单词。虽然这对用户来说意义可能很重要,但两者之间的区别却是很微妙的。但需要注意的是,谷歌已经最先开始研究怎样让广大互联网用户了解安全指示标志。
谷歌Chrome和Mozilla Firefox浏览器最近已经更改了在非TLS站点上的密码输入框的显示——非安全表单现在会触发警告。这些警告很可能会促使钓鱼网站更多的采用TLS,骗子们会为了在收集密码时获得“安全(Secure)”标志并避免出现负面标志而部署TLS。
在被Netcraft完全拦截的具有有效TLS证书的19700个主机名中,有72.5%的域名欺诈性指数超过5.0,有49%超过7.0(指数范围是0.0到10.0)。作为对比,在2017年4月Netcraft进行的SSL抽样调查中发现的2017年2月颁发的域验证证书中随机抽取10000个主机名,其平均域名欺诈性指数为0.72,有7%超过5.0,4.4%超过7.0。
被拦截的具有有效TLS证书的钓鱼网站的域名欺诈性指数分布
参考来源:Netcraft
- Netcraft报告: let's encrypt和Comodo发布成千上万的网络钓鱼证书
- 申请Let's Encrypt的证书
- Let's Encrypt证书使用
- 使用Go和Let's Encrypt证书部署HTTPS
- Let's Encrypt,免费好用的 HTTPS 证书
- 申请免费的https证书-Let's Encrypt
- linux中获取/更新Let’s encrypt 证书的脚本
- Let's Encrypt,免费好用的 HTTPS 证书
- Let’s Encrypt 免费SSL证书自动续期的方法
- Let’s Encrypt的免费SSL证书(续签)
- 配置新版 Let’s Encrypt (Certbot) 证书
- 免费ssl证书:Let's Encrypt
- Let's Encrypt申请认证获取证书
- Let's Encrypt dns验证获取证书
- Let’s Encrypt SSL证书申请流程
- Let's Encrypt免费SSL证书
- OneinStack自动部署Let's Encrypt证书
- OneinStack自动部署Let's Encrypt证书
- Dubbo系列(七)Dubbo源码分析之结构描述
- JPEG图像压缩算法流程详解
- iOS 使用 Alamofire 实时监测网络状况
- debug方式深入理解netty源码-server端服务启动
- FeatureLayer显示文字标注
- Netcraft报告: let's encrypt和Comodo发布成千上万的网络钓鱼证书
- 为Xcode添加删除行、复制行快捷键
- C~K的难题
- 手淘 flexible
- tesorflow api
- 一对多 group by 后 查询 count(*) ,但是 count(*)=0的不能显示
- java 通过正则表达式获取匹配字符串的例子
- 影响JavaScript应用可扩展性因素
- Linux 学习(四)--- 虚拟机服务器网络架构图(NAT 模式)