還在用免費 SSL 憑證嗎?當心! 高風險濫用已淪為假網站、詐欺網站使用
免費 SSL 憑證和廉價憑證,最近因高風險濫用而淪為假網站、詐欺網站首選使用,負面新聞不斷、並非長久之計,故建議請儘量避免採用!
相關新聞連結如下:
Let’s Encrypt因臭蟲而撤銷300萬個TLS憑證
https://www.ithome.com.tw/news/136139
趨勢科技已發現 Let’s Encrypt SSL 已為可疑軟體網站所使用
http://blog.trendmicro.com/trendlabs-security-intelligence/lets-encrypt-now-being-abused-by-malvertisers/
資訊專家指出 Let’s Encrypt SSL 憑證已為假網站、詐欺網站首選使用
https://threatpost.com/lessons-from-top-to-bottom-compromise-of-brazilian-bank/124770/
Let’s Encrypt SSL 憑證已為上千個詐欺網站使用
https://news.netcraft.com/archives/2017/04/12/lets-encrypt-and-comodo-issue-thousands-of-certificates-for-phishing.html
可歸納出問題點如下:
1. 成為網路駭客攻擊之顯著目標
Let’s Encrypt 所提供之SSL憑證,目前皆完全公布於網路上,亦為其所標榜之特色,但對於一般使用者來說,其實並未擁有足夠知識與資源去預防網路駭客攻擊,若直接公佈個人網站名稱,無疑是增加個人網站內含資料洩漏或成為攻擊跳板之風險。
2. 屬低驗證等級之高風險DV(Domain Validation) SSL 憑證
Let’s Encrypt 所提供之SSL憑證,採低驗證強度之DV(Domain Validation) 機制,但此種DV驗證機制所核發之SSL憑證(須付費),目前常被使用於可疑(軟體)網站/釣魚網站 等非法用途上,即肇因於 DV此種低驗證強度之故,讓有心人有機可趁。
3. 服務之完整性與可續性
Let’s Encrypt 已成為 可疑(軟體)網站/釣魚網站 等非法用途者之最愛,其已簽發憑證中將充斥著大量非法用途之網站,而負責營運之ISRG須不斷進行廢止憑證,阻止憑證被濫用以降低 ISRG被申訴求償之風險,整體來說以其目前所規畫之免費營運方式,實不足以後續各項維運開支,整體之CA系統服務及相關維運成本,及其未知獲利之商業模式,是否能讓 ISRG 之 sponsor 繼續注資燒錢以持續維運下去,亦將是一大挑戰。
另這一年來,擁有最多網路使用者之Google,對於CA 之安全規範相當注重,
過去已發生 CNNIC 根憑證被拔除信任 及 Symantec 皆陸續被祭出嚴厲制裁:
http://www.ithome.com.tw/news/112989可預見 Let’s Encrypt 服務因前述之高風險濫用狀況,將有機會於未來被Google拔除其根憑證, 有機會被各作業系統、瀏覽器或 CA/Browser Forum 組織,視為高風險 CA 而對其做出特別處理 – 例如:標示其SSL 憑證為高風險,或甚至處於隨時有機會被拔除根憑證之風險中。
文章來源:TWCA