就在我們剛剛弄清楚瀏覽器地址欄中“HTTPS”的重要性時，垃圾郵件發(fā)送者和惡意攻擊者早就已經(jīng)知道應(yīng)該怎么將系統(tǒng)玩弄于股掌之間了。

　　Let’s Encrypt

Let’s Encrypt是一款自動化服務(wù)，它可以利用證書來幫助用戶將此前未加密的URL地址轉(zhuǎn)換成經(jīng)過加密且安全系數(shù)更高的HTTPS地址。這就非常棒了，尤其是在這個證書價格貴過黃金的年代，很多永和根本負(fù)擔(dān)不起這樣的開銷。所以由此不難看出，Let’s Encrypt在提升網(wǎng)絡(luò)安全性和用戶體驗度方面毫無疑問地做出了巨大的貢獻。

但是，Let’s Encrypt也給安全技術(shù)部門帶來了很大的麻煩。因為這是一個免費服務(wù)，而且任何小白都可以輕松地將HTTPS引入自己的網(wǎng)站中，而網(wǎng)絡(luò)犯罪分子同樣可以利用Let’s Encrypt來欺騙廣大善良的互聯(lián)網(wǎng)用戶。

當(dāng)一個網(wǎng)站使用的是HTTPS，那么不僅用戶會認(rèn)為自己可以信任這個網(wǎng)站（因為使用了加密鏈接），而且類似Google Chrome這樣的瀏覽器同樣會在地址欄前面顯示一個綠色的安全圖標(biāo)以及“安全（Secure）”字樣。更加重要的是，很多隱私以及安全倡導(dǎo)者也在不停地敦促用戶當(dāng)他們訪問一個網(wǎng)站時一定要確定這個網(wǎng)站地址欄擁有這樣的安全標(biāo)志，因為他們認(rèn)為只要有這種綠色安全標(biāo)志的網(wǎng)站都是安全的。

　　安全隱患

可能各位同學(xué)看到這里會覺得世界非常的美好，但事實并非如此。實際上，Let’s Encrypt現(xiàn)在已經(jīng)成為了網(wǎng)絡(luò)犯罪分子將釣魚網(wǎng)站“合法化”的利器，這對于我們來說絕對是一個噩耗，而對于那些僅僅只能通過地址欄的綠色標(biāo)識來判斷網(wǎng)站安全性的用戶來說，他們的“后院”隨時都會起火。

根據(jù)證書經(jīng)銷商The SSL Store提供的信息，在2016年1月1日之2017年3月6日這段時間里，Let’s Encrypt總共頒發(fā)了15270份包含有“PayPal”字樣的SSL證書。

需要提醒大家的是，The SSL Store僅僅是這些證書的一家提供商，所以Let’s Encrypt的使命并不是他們所真正關(guān)心的東西。而且根據(jù)他們提供的信息，上述絕大部分證書頒發(fā)于去年11月份，當(dāng)時Let’s Encrypt幾乎每天都會頒發(fā)將近一百個“PayPal”證書。根據(jù)隨機抽查的數(shù)據(jù)顯示，其中有96.7%的證書被用于偽裝釣魚網(wǎng)站等惡意活動。這家經(jīng)銷商表示，在研究人員調(diào)查偽造“PayPal”網(wǎng)站的過程中，他們還發(fā)現(xiàn)了很多其他的SSL釣魚網(wǎng)站，受影響的服務(wù)商包括美國銀行、Apple以及Google等。

這個問題已經(jīng)存在了很多年了，而且目前的情況也是每況日下。在去年一月份，來自安全公司趨勢科技（Trend Micro）的研究人員就發(fā)現(xiàn)了一個惡意廣告活動，而這個活動主要針對的是那些使用了免費Let’s Encrypt證書的網(wǎng)站。當(dāng)用戶訪問了惡意廣告之后，便會被重定向至另一個托管了Angler Exploit Kit的站點。當(dāng)用戶訪問了一個惡意Web頁面之后，Angler將可以在用戶毫不知情的情況下讓目標(biāo)主機感染惡意軟件，而且整個過程完全不需要任何的用戶交互。研究人員表示，超過50%的Angler所感染的都是勒索軟件，所以在這類活動中，絕大部分的攻擊者都是通過數(shù)據(jù)贖金來獲取非法受益的。

趨勢科技發(fā)現(xiàn)，這些惡意廣告背后的攻擊者在使用Let’s Encrypt申請HTTPS證書之前，還需要創(chuàng)建一個看起來真實性足夠高的子域名，并以此來欺騙大部分的網(wǎng)上用戶。這樣一來，用戶就可以看到釣魚網(wǎng)站是擁有Let’s Encrypt證書的，這樣就會讓用戶認(rèn)為這是一個合法并且安全的網(wǎng)站了。

任何技術(shù)都存在兩面性

一項優(yōu)秀的技術(shù)誕生之后，即便它的設(shè)計初衷是好的，但它同樣有可能被網(wǎng)絡(luò)犯罪分子所利用，Let’s Encrypt也不例外。那么，我們?yōu)槭裁床荒苤苯映蜂N掉那些很明顯是偽造的PayPal證書呢？因為他們認(rèn)為這并不是他們的問題。

Josh Aas是網(wǎng)絡(luò)安全研究組織（ISRG，即Let’s Encrypt項目的管理方）的執(zhí)行總裁，他在一月份接受InfoWorld的采訪時表示，Let’s Encrypt并不需要對現(xiàn)在的HTTPS信任問題承擔(dān)任何的責(zé)任，而且目前的證書頒發(fā)系統(tǒng)也無法完全幫助用戶去抵御釣魚網(wǎng)站以及惡意軟件。Let’s Encrypt官方也將這個問題推給了Google、Firefox以及Safari等瀏覽器安全團隊。因為Aas認(rèn)為，瀏覽器的反釣魚和反惡意軟件機制相比證書頒發(fā)商而言則更加成熟和有效。

但是，即使Google將某個域名標(biāo)記為了惡意HTTPS釣魚網(wǎng)站，Let’s Encrypt也不會撤銷他們的證書。因此，我們現(xiàn)在已經(jīng)不能再通過瀏覽器地址欄前面的綠色標(biāo)志以及“Secure”標(biāo)記來判斷一個網(wǎng)站是否安全了，這也意味著我們之前所做的相關(guān)安全普及工作也都白費了。

總結(jié)

我們應(yīng)該盡可能地使用HTTPS，這一點毋庸置疑，但是我們并不能僅僅通過“HTTPS”就去判斷一個網(wǎng)站是否安全。因為廣大用戶真的應(yīng)該知道，HTTPS并不等于合法跟安全，而這也只適用于前幾年的網(wǎng)絡(luò)環(huán)境。因此，我們應(yīng)該在點擊某個鏈接之前，即使Chrome將這個鏈接標(biāo)記為“安全”，我們也仍然要親自檢查鏈接的有效性以及地址中的單詞拼寫是否存在錯誤等因素，因為瀏覽器說它是安全的，它也并非真的安全，而這就是我們所處的網(wǎng)絡(luò)安全世界，任何人都有可能犯錯。