文档章节

Netcraft报告: let's encrypt和Comodo发布成千上万的网络钓鱼证书

wossl
 wossl
发布于 2017/05/17 15:02
字数 1090
阅读 12
收藏 0

Netcraft调查显示,2017年1季度发现数以万计的有效SSL证书颁发给具有明显网络钓鱼和诈骗意图的域名,其中由let's encrypt和Comodo发布的免费SSL证书占到了96%。

 

在2017年1月1日到3月31日期间,Netcraft已经拦截了超过47500个具有有效SSL证书的钓鱼网站攻击。其中有19700个站点被全站拦截,而不是拦截特定的子目录。在被完全拦截的网站中,61%使用了Let's Encrypt颁发的证书,36%使用了Comodo颁发的证书。

 

 

 

MozillaFirefox的遥测报告显示,大约55%的页面加载都是通过HTTPS。向安全互联网迁移对于防范未加密流量带来的风险至关重要,能够轻松获取到有效证书是近期HTTPS页面增长的关键因素。然而,利用HTTPS站点值得信赖的认知,轻松获取到有效证书也为欺诈者提供了机会,大量证书颁发给了明确具有欺诈性的域名也证明了这一点。

 

看看少量被拦截的欺诈指数较高的具有有效证书的钓鱼网站样本:

 

 

 

Let'sEncrypt在网络钓鱼和恶意软件方面的政策是检查安全浏览API,这不能对预签发的证书提供有效拦截。这和自动化证书部署并不匹配,因为在自动化证书部署时,在颁发和安装证书时,有关钓鱼的内容可能还未被上传、检测和拦截。Let's Encrypt还有一个有限的域名列表,他们会阻止向这些域名颁发证书。尽管有安全浏览检查和基于域名的额外拦截,但Netcraft还是发现很多钓鱼网站的证书是由Let's Encrypt颁发的。

 

 

钓鱼网站https://www.instagram.com-getid.com(欺诈性指数为9.46)

 

这些钓鱼网站对使用TLS是极其危险的,因为使用TLS的网站被看做可信站点,且由一些合法机构运营。消费者一直受到这样的指导:在向网站提交如密码和信用卡号等敏感信息前,在浏览器中寻找挂锁、安全指示标志和地址栏中的“https://”。

但是,仅显示挂锁或“安全(Secure)”指示标志并不意味着使用TLS的网站是可信的,或是由合法机构运营的。连接的安全性和向HTTPS站点提供敏感信息的安全性之间是有区别的,对那些不熟悉TLS技术基础的人来说,解释这个区别非常困难。

为了展示解释这种技术区别上的难度,谷歌Chrome浏览器通过在地址栏显示“安全(Secure)”这个单词来表明一个HTTPS连接使用的是有效的TLS证书。而“安全(secure)”这个单词是指,为防范窃听者而对加密连接进行保护,并通过在下拉菜单显示“私有”这个单词。虽然这对用户来说意义可能很重要,但两者之间的区别却是很微妙的。但需要注意的是,谷歌已经最先开始研究怎样让广大互联网用户了解安全指示标志。

谷歌Chrome和Mozilla Firefox浏览器最近已经更改了在非TLS站点上的密码输入框的显示——非安全表单现在会触发警告。这些警告很可能会促使钓鱼网站更多的采用TLS,骗子们会为了在收集密码时获得“安全(Secure)”标志并避免出现负面标志而部署TLS。

在被Netcraft完全拦截的具有有效TLS证书的19700个主机名中,有72.5%的域名欺诈性指数超过5.0,有49%超过7.0(指数范围是0.0到10.0)。作为对比,在2017年4月Netcraft进行的SSL抽样调查中发现的2017年2月颁发的域验证证书中随机抽取10000个主机名,其平均域名欺诈性指数为0.72,有7%超过5.0,4.4%超过7.0。

 

被拦截的具有有效TLS证书的钓鱼网站的域名欺诈性指数分布

 

 

 

参考来源:Netcraft

本文转载自:

wossl
粉丝 1
博文 77
码字总数 58778
作品 0
东城
私信 提问
CA安全会提出伦敦协议 旨在减少“安全”的钓鱼网站

证书颁发机构们搞了个伦敦协议试图改进OV和EV证书,但浏览器厂商会支持吗? 伦敦协议是SSL行业如此独特的一个很好的例子。 很少有行业中的五家顶级公司聚集在一起,试图解决他们销售的产品的...

亚洲诚信
2018/08/01
0
0
CA安全会提出伦敦协议 旨在减少“安全”的钓鱼网站

证书颁发机构们搞了个伦敦协议试图改进OV和EV证书,但浏览器厂商会支持吗? 伦敦协议是SSL行业如此独特的一个很好的例子。 很少有行业中的五家顶级公司聚集在一起,试图解决他们销售的产品的...

亚洲诚信
2018/08/01
0
0
全民 https 时代,为你盘点关于免费 SSL 证书的那些事儿

目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。文章重点介绍了几个可以在线申请的免费 SSL 证书的网址,以及个人点评。 根据 Let's Encrypt CA...

局长
2018/01/07
3.3K
15
Let’s Encrypt 推动了 HTTPS 的普及

如今的互联网暗潮涌动,陷阱无数,HTTPS 可以帮助你抵御部分陷阱。然而 HTTPS 的生态系统严重依赖于CA,而 CA 有着多个令人诟病的问题:证书昂贵;不透明;安全问题严重,比如被入侵签发假证...

达尔文
2016/11/05
2K
11
与 Netcraft 携手为 GlobalSign 的客户提供先进的保护措施以防止网站遭受恶意入侵和钓鱼攻击

Netcraft 反钓鱼系统支持最主流浏览器,如果安裝 GlobalSign 数字证书的网站正遭受钓鱼攻击,Netcraft 将警报本公司,使其迅速通知网站所有者或代表客户方申请 SSL 证书的托管公司。随后本公...

galobalsign
2013/02/19
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Jenkins系列_插件安装及报错处理

进入Jenkins之后我们可以进行插件的安装,插件管理位于以下模块: 发现上面报了一堆错误,是因为插件的依赖没有安装好,那么这一节,就先把这些错误解决掉吧。解决完成后,也就基本会使用插件...

shzwork
今天
2
0
mysql mysql的所有查询语句和聚合函数(整理一下,忘记了可以随时看看)

查询所有字段 select * from 表名; 查询自定字段 select 字段名 from 表名; 查询指定数据 select * from 表名 where 条件; 带关键字IN的查询 select * from 表名 where 条件 [not] in(元素...

edison_kwok
昨天
8
0
多线程同时加载缓存实现

import com.google.common.cache.Cache;import com.google.common.cache.CacheBuilder;import java.util.concurrent.ExecutionException;import java.util.concurrent.ExecutorServi......

暗中观察
昨天
3
0
利用VisualVM 内存查看

准备工作,建几个测试类。等下就是要查看这几个类里面的属性 package visualvm;public class MultiObject { private String str; private int i; MultiObject(String str...

冷基
昨天
2
0
组装一台工作游戏两用机

一、配置清单如下: 分类 项目 价格(元) 主板 华硕(ASUS)TUF Z370-PLUS GAMING II 电竞特工 Z370二代 支持9代CPU 1049 CPU 英特尔(Intel) i7 8700K 酷睿六核 盒装CPU处理器 2640 风扇 九...

mbzhong
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部