易遭黑客利用 慎用免费的网站SSL证书

Let's Encrypt免费SSL证书遭黑客利用

　　据媒体报道，安全公司Trend Micro发布消息称，一个恶意广告服务器通过植入银行木马，可自动感染访客Windows设备，让黑客在用户不知情的情况下远程访问系统。此恶意服务器安装了Let's Encrypt的免费SSL证书(服务器证书)，以使其链接可以显示代表安全的HTTPS标识和网站服务器认证信息，骗取用户信任。Trend Micro的报告指出，Let's Encrypt的服务存在潜在安全问题，并呼吁该组织在发现免费SSL证书被滥用之后就收回。

　　免费SSL证书为何会被黑客利用

　　作为网站信息安全的一项基础配置，越来越多的网站需要安装SSL证书，而为了加快SSL证书的普及，Let's Encrypt于2015年起为申请者签发免费证书。这本是一件好事，但却存在安全隐患。因为Let's Encrypt证书和目前所有完全免费的SSL证书一样，都是只验证网站域名所有权的DV证书(域名型证书)，也就是只要申请人或申请机构信息和所申请的域名信息一致就能获得证书。至于申请人信息的真实性、申请机构是否经过合法注册则被完全忽视。由于在审核签发过程中只需少量人工甚至不需人工，所以DV证书成本极低，可以作为免费证书发放。但这种不严谨的审核方式造成黑客只需让申请信息与域名信息一致就能轻松获得证书。免费的DV证书是安全级别最低的SSL证书，它仅能起到HTTPS信息加密的作用，而丧失了SSL证书的另一重要功能，即域名所有者身份的真实性验证。但如果身份是虚假的，那加密又有何意义？

　　慎用免费SSL证书

　　CFCA技术工程师认为，近期Let's Encrypt免费证书遭黑客利用事件很可能只是一个开始。随着SSL证书的普及和用户越来越信任已安装SSL证书的网站，黑客也会利用这种信任，通过获得免费证书为自己披上看似可信的外衣。在目前免费证书身份验证机制还不完善的情况下，出于对用户、网站自身安全的考量，网站主应慎用免费SSL证书，优先考虑有着完整身份验证机制的OV证书(机构型证书)和EV证书(增强型证书)。OV证书不仅验证域名信息，而且要认证服务器、网站对应的机构实体是否存在及合法。而EV证书的认证标准比OV证书更严格，是安全级别最高的SSL证书。    注: 当机构通过认证，部署EV SSL证书后，网址栏中可以展示机构的认证信息

　　出于安全考虑，CFCA目前对颁发仅认证域名所有权的DV SSL证书持谨慎态度，暂时也不会签发此类证书。但考虑到部分用户希望体验SSL产品功能的需求， CFCA会向符合要求的机构提供为期30天的OV证书免费试用，用户可登录CFCA官网或致电010-59798680咨询证书试用事宜。