還在用免費 SSL 憑證嗎?當心! 高風險濫用已淪為假網站、詐欺網站使用

免費 SSL 憑證和廉價憑證，最近因高風險濫用而淪為假網站、詐欺網站首選使用，負面新聞不斷、並非長久之計，故建議請儘量避免採用！
相關新聞連結如下：

Let’s Encrypt因臭蟲而撤銷300萬個TLS憑證
https://www.ithome.com.tw/news/136139

趨勢科技已發現 Let’s Encrypt SSL 已為可疑軟體網站所使用
http://blog.trendmicro.com/trendlabs-security-intelligence/lets-encrypt-now-being-abused-by-malvertisers/

資訊專家指出 Let’s Encrypt SSL 憑證已為假網站、詐欺網站首選使用
https://threatpost.com/lessons-from-top-to-bottom-compromise-of-brazilian-bank/124770/

Let’s Encrypt SSL 憑證已為上千個詐欺網站使用
https://news.netcraft.com/archives/2017/04/12/lets-encrypt-and-comodo-issue-thousands-of-certificates-for-phishing.html

可歸納出問題點如下：
1. 成為網路駭客攻擊之顯著目標
Let’s Encrypt 所提供之SSL憑證，目前皆完全公布於網路上，亦為其所標榜之特色，但對於一般使用者來說，其實並未擁有足夠知識與資源去預防網路駭客攻擊，若直接公佈個人網站名稱，無疑是增加個人網站內含資料洩漏或成為攻擊跳板之風險。

2. 屬低驗證等級之高風險DV(Domain Validation) SSL 憑證
Let’s Encrypt 所提供之SSL憑證，採低驗證強度之DV(Domain Validation) 機制，但此種DV驗證機制所核發之SSL憑證(須付費)，目前常被使用於可疑(軟體)網站/釣魚網站 等非法用途上，即肇因於 DV此種低驗證強度之故，讓有心人有機可趁。

3. 服務之完整性與可續性
Let’s Encrypt 已成為 可疑(軟體)網站/釣魚網站 等非法用途者之最愛，其已簽發憑證中將充斥著大量非法用途之網站，而負責營運之ISRG須不斷進行廢止憑證，阻止憑證被濫用以降低 ISRG被申訴求償之風險，整體來說以其目前所規畫之免費營運方式，實不足以後續各項維運開支，整體之CA系統服務及相關維運成本，及其未知獲利之商業模式，是否能讓 ISRG 之 sponsor 繼續注資燒錢以持續維運下去，亦將是一大挑戰。

另這一年來，擁有最多網路使用者之Google，對於CA 之安全規範相當注重，
過去已發生 CNNIC 根憑證被拔除信任 及 Symantec 皆陸續被祭出嚴厲制裁：
http://www.ithome.com.tw/news/112989可預見 Let’s Encrypt 服務因前述之高風險濫用狀況，將有機會於未來被Google拔除其根憑證， 有機會被各作業系統、瀏覽器或 CA/Browser Forum 組織，視為高風險 CA 而對其做出特別處理 – 例如：標示其SSL 憑證為高風險，或甚至處於隨時有機會被拔除根憑證之風險中。

文章來源:TWCA