當(dāng)前，為了應(yīng)對日益惡化的互聯(lián)網(wǎng)環(huán)境，各大網(wǎng)站紛紛向HTTPS（超文本加密傳輸協(xié)議）上過渡，不過鑒于對網(wǎng)站服務(wù)器主機(jī)進(jìn)行HTTPS認(rèn)證需要支付一定的認(rèn)證費(fèi)用，導(dǎo)致很多網(wǎng)站由于沒有預(yù)算向HTTPS認(rèn)證機(jī)構(gòu)提出申請而無法升級HTTPS。

　　警惕免費(fèi)HTTPS認(rèn)證服務(wù)被濫用

對此，非營利網(wǎng)絡(luò)認(rèn)證發(fā)放機(jī)構(gòu)Let's Encrypt在此前就推出了開源免費(fèi)的HTTPS認(rèn)證服務(wù)。不過，近期有專家發(fā)現(xiàn)，Let's Encrypt發(fā)放的認(rèn)證證書有被濫用的趨勢。據(jù)統(tǒng)計(jì)，迄今已發(fā)行15270個(gè)內(nèi)含PayPal字樣的證書，當(dāng)中約有96.7%被用于釣魚網(wǎng)站，這表示約有14766個(gè)釣魚網(wǎng)站已經(jīng)擁有與PayPal相關(guān)的證書。

據(jù)悉，Let's Encrypt是由電子前哨基金會(huì)（Electronic Frontier Foundation）聯(lián)合Mozilla、Google、微軟、蘋果等巨頭共同設(shè)立的HTTPS認(rèn)證組織，由公益公司Internet Security Research Group（ISRG）負(fù)責(zé)營運(yùn)。通過其提供免費(fèi)且自動(dòng)化的證書服務(wù)，還可把原本需要耗時(shí)數(shù)小時(shí)的證書申請流程縮短至30秒。

Let's Encrypt于2016年1月正式啟動(dòng)，截至去年底已發(fā)行超過2000萬張證書，近期，每天的憑證發(fā)行量已達(dá)到100萬張。然而，免費(fèi)且快速的證書發(fā)行流程同樣也降低了不法黑客取得證書的門檻。

研究人員發(fā)現(xiàn)，利用crt.sh搜尋引擎查找使用內(nèi)含PayPal字樣的證書后發(fā)現(xiàn)，PayPal釣魚網(wǎng)站的泛濫程度遠(yuǎn)比設(shè)想的更加嚴(yán)重。由Let's Encrypt發(fā)行的證書雖然加密了網(wǎng)站的傳輸內(nèi)容，但不幸的是，這也包括了惡意網(wǎng)站在內(nèi)。

除了PayPal之外，研究人員發(fā)現(xiàn)Let's Encrypt還發(fā)行了大量包含美國銀行（Bank of America）、Apple ID與Google等字樣的證書，為互聯(lián)網(wǎng)用戶帶來威脅。由于Let's Encrypt并不具備內(nèi)容審查權(quán)限，同時(shí)也缺乏可辨識(shí)網(wǎng)站內(nèi)容安全性的資訊及驗(yàn)證程序，因此只能建議互聯(lián)網(wǎng)用戶通過Google的Safe Browsing或微軟的Smartscreen來保障網(wǎng)絡(luò)上的瀏覽安全了。