揭秘HTTPS中 S 的另一面

就在我们刚刚弄清楚浏览器地址栏中“HTTPS”的重要性时,垃圾邮件发送者和恶意攻击者早就已经知道应该怎么将系统玩弄于股掌之间了。

Let’s Encrypt

Let’s Encrypt是一款自动化服务,它可以利用证书来帮助用户将此前未加密的URL地址转换成经过加密且安全系数更高的HTTPS地址。这就非常棒了,尤其是在这个证书价格贵过黄金的年代,很多永和根本负担不起这样的开销。所以由此不难看出,Let’s Encrypt在提升网络安全性和用户体验度方面毫无疑问地做出了巨大的贡献。

但是,Let’s Encrypt也给安全技术部门带来了很大的麻烦。因为这是一个免费服务,而且任何小白都可以轻松地将HTTPS引入自己的网站中,而网络犯罪分子同样可以利用Let’s Encrypt来欺骗广大善良的互联网用户。

当一个网站使用的是HTTPS,那么不仅用户会认为自己可以信任这个网站(因为使用了加密链接),而且类似Google Chrome这样的浏览器同样会在地址栏前面显示一个绿色的安全图标以及“安全(Secure)”字样。更加重要的是,很多隐私以及安全倡导者也在不停地敦促用户当他们访问一个网站时一定要确定这个网站地址栏拥有这样的安全标志,因为他们认为只要有这种绿色安全标志的网站都是安全的。

安全隐患

可能各位同学看到这里会觉得世界非常的美好,但事实并非如此。实际上,Let’s Encrypt现在已经成为了网络犯罪分子将钓鱼网站“合法化”的利器,这对于我们来说绝对是一个噩耗,而对于那些仅仅只能通过地址栏的绿色标识来判断网站安全性的用户来说,他们的“后院”随时都会起火。

根据证书经销商The SSL Store提供的信息,在2016年1月1日之2017年3月6日这段时间里,Let’s Encrypt总共颁发了15270份包含有“PayPal”字样的SSL证书。

需要提醒大家的是,The SSL Store仅仅是这些证书的一家提供商,所以Let’s Encrypt的使命并不是他们所真正关心的东西。而且根据他们提供的信息,上述绝大部分证书颁发于去年11月份,当时Let’s Encrypt几乎每天都会颁发将近一百个“PayPal”证书。根据随机抽查的数据显示,其中有96.7%的证书被用于伪装钓鱼网站等恶意活动。这家经销商表示,在研究人员调查伪造“PayPal”网站的过程中,他们还发现了很多其他的SSL钓鱼网站,受影响的服务商包括美国银行、Apple以及Google等。

这个问题已经存在了很多年了,而且目前的情况也是每况日下。在去年一月份,来自安全公司趋势科技(Trend Micro)的研究人员就发现了一个恶意广告活动,而这个活动主要针对的是那些使用了免费Let’s Encrypt证书的网站。当用户访问了恶意广告之后,便会被重定向至另一个托管了Angler Exploit Kit的站点。

当用户访问了一个恶意Web页面之后,Angler将可以在用户毫不知情的情况下让目标主机感染恶意软件,而且整个过程完全不需要任何的用户交互。研究人员表示,超过50%的Angler所感染的都是勒索软件,所以在这类活动中,绝大部分的攻击者都是通过数据赎金来获取非法受益的。

趋势科技发现,这些恶意广告背后的攻击者在使用Let’s Encrypt申请HTTPS证书之前,还需要创建一个看起来真实性足够高的子域名,并以此来欺骗大部分的网上用户。这样一来,用户就可以看到钓鱼网站是拥有Let’s Encrypt证书的,这样就会让用户认为这是一个合法并且安全的网站了。

任何技术都存在两面性

一项优秀的技术诞生之后,即便它的设计初衷是好的,但它同样有可能被网络犯罪分子所利用,Let’s Encrypt也不例外。那么,我们为什么不能直接撤销掉那些很明显是伪造的PayPal证书呢?因为他们认为这并不是他们的问题。

Josh Aas是网络安全研究组织(ISRG,即Let’s Encrypt项目的管理方)的执行总裁,他在一月份接受InfoWorld的采访时表示,Let’s Encrypt并不需要对现在的HTTPS信任问题承担任何的责任,而且目前的证书颁发系统也无法完全帮助用户去抵御钓鱼网站以及恶意软件。Let’s Encrypt官方也将这个问题推给了Google、Firefox以及Safari等浏览器安全团队。因为Aas认为,浏览器的反钓鱼和反恶意软件机制相比证书颁发商而言则更加成熟和有效。

但是,即使Google将某个域名标记为了恶意HTTPS钓鱼网站,Let’s Encrypt也不会撤销他们的证书。因此,我们现在已经不能再通过浏览器地址栏前面的绿色标志以及“Secure”标记来判断一个网站是否安全了,这也意味着我们之前所做的相关安全普及工作也都白费了。

总结

我们应该尽可能地使用HTTPS,这一点毋庸置疑,但是我们并不能仅仅通过“HTTPS”就去判断一个网站是否安全。因为广大用户真的应该知道,HTTPS并不等于合法跟安全,而这也只适用于前几年的网络环境。因此,我们应该在点击某个链接之前,即使Chrome将这个链接标记为“安全”,我们也仍然要亲自检查链接的有效性以及地址中的单词拼写是否存在错误等因素,因为浏览器说它是安全的,它也并非真的安全,而这就是我们所处的网络安全世界,任何人都有可能犯错。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

Let’s Encrypt 保驾护航的 HTTPS 网站数量已突破1亿

备受欢迎的安全证书颁发机构 Let’s Encrypt 宣布,当前它已经为超过 1 亿个网站保驾护航,而且这个数字还在持续增长。仅在上个月,使用 HTTPS 保...

8540
来自专栏企鹅号快讯

计算机网络安全技术

浅谈计算机网络技术安全 本文从计算机网络安全的基本知识出发,分析影响计算机网络安全的因素,并提出针对网络安全的三种技术,比较各种技术的特色以及可能带来的安全风险...

42490
来自专栏ThoughtWorks

基于密码学的数据治理Crypto-based Data Governance|洞见

最近得益于区块链在金融领域的火爆效应,Crypto-based currency&transaction改变了金融圈原本“数字货币=数字游戏”的印象,密码学货币...

29850
来自专栏SAP梦心的SAP分享

“加密系统”的巨坑

      在来公司之前,我压根就不知道这世界上原来还有“加密系统”这种软件产品存在,学名叫数据防泄漏,也怪我孤陋寡闻了。因为之前在厦门从来没听说过哪家公司有在...

61760
来自专栏FreeBuf

偷车其实很简单 | 你知道Android车控App有多不安全吗?

卡巴斯基实验室的安全研究人员最近发现:黑客可以仅仅通过侵入Android车控App轻易解锁汽车,上百万汽车深陷被窃危机。 汽车控制App现在越来越流行了,这些应...

232100
来自专栏FreeBuf

验证码安全那些事

前言 最近在研究验证码安全,本文主要分析四种流行的验证码(图形,短信,语音和滑动)进行分析,写这篇文章的出发点并非是绕过或破解验证码,而是根据自身业务情况来选择...

78390
来自专栏云计算D1net

云安全已经很好,但如何让它更好呢?

在美国,超过三分之一的企业在使用云计算,到2020年,这一数字有望增加一倍,达到80%。尽管云计算很安全,但并不能完全避免数据泄露。随着云计算逐渐成为IT的重要...

26850
来自专栏安恒信息

手机隐私保护不再难——密信助力移动信息安全通信加密

7月,央视曝光了苹果iPhone收集用户位置信息,泄漏用户隐私。在国人开始更换国产手机来规避信息泄露风险的时候,小米也陷入“个人隐私泄露”泥淖。8月,...

423100
来自专栏FreeBuf

朝鲜又中枪,近期Adobe Flash 0-Day攻击幕后黑手竟然是他?

据思科和FireEye的安全研究人员称,韩国黑客组织是最近发现Adobe Flash 0day漏洞攻击的幕后黑手。 自发布以来,已经有超过1000个 Adobe...

22390
来自专栏嵌入式程序猿

一起来学习CAN FD(CAN with Flexible Data-Rate)

精彩内容 首先,小猿给大家拜个晚年,祝各位猿友在新的一年里,工作顺利,技术长进,家庭和睦, 在刚刚过去的一年,CAN总线有了飞跃的发展,也就是我们要讲的CAN...

58850

扫码关注云+社区

领取腾讯云代金券