数据显示,证书正被广泛用于网络钓鱼。
这是一封致Let’s Encrypt的公开信,讨论的是包含“PayPal”一词的证书的签发一事。
在SSL/证书颁发机构行业内,有关SSL证书用于恶意网站的争论仍在继续。最大的问题是,证书机构(CA)是否应该监管向其颁发证书的网站的内容和性质。如果CA认为网站会利用它们进行网络钓鱼或散布恶意软件,他们是否应该过滤和拒绝证书请求?CA是否应当撤销已举报及证实参与这些活动的网站的证书?
在Let ‘s Encrypt之前,所有主流CA都支持应该拒绝或撤销恶意站点的证书这一观点,而Let ‘s Encrypt在这个问题上采取了如此咄咄逼人的立场,以至于让事情变得一团糟。
Let ‘ s Encrypt执行董事Josh Aas以前曾撰文讨论过他对证书颁发机构的责任的看法。他们认为CA的工作不包括判断请求证书的站点是否是安全或合法的,而且即使尝试这样做,CA在阻止恶意网站方面也不是很有效。
因此,Let ‘ s Encrypt不再使用CA一直以来用以阻止“高风险”请求的发行前检查,因为这些请求可能出于恶意原因(如网络钓鱼)。相反,Let ‘ s Encrypt使用了谷歌的安全浏览(Safe Browsing)和微软的智能屏幕(SmartScreen)等的服务,因为这些服务可以在不同层面识别和阻止危险站点。
大多数商业CA都不同意“Let ‘ s Encrypt”的立场,因此时常引发了争论。
我并不是要求Let ‘ s Encrypt改变其大方向。我尊重并理解它的观点,而且,鉴于其作为CA的目标,我认为这是一个明智的立场。
考虑到有关内容过滤的争论是一个如此热门的话题,我想避开这一切,只要求一件更为简单的事情:
停止签发包含“Paypal”的证书
包含“PayPal”一词的证书正被普遍滥用,因此这些证书的持续签发给钓鱼网站赋予了合法性,从而对网络构成了威胁。Let ‘s Encrypt可以在不影响其用户或任务的情况下解决这个问题。
就是这样。这就是我们要求的。现在你可能会想,等等,这不是内容过滤吗?
正如其他CA所实施的那样,过滤涉及复杂的黑名单、提交到多个信誉和垃圾邮件服务、手动审查流程,以及持续的“打地鼠”游戏,以便找出本周钓鱼者有哪些拼写错误或同音异义词。
在不损害其目标,或者在开发、维护和审查这些措施时不产生巨大成本的情况下,Let ‘s Encrypt是不可能实现类似措施的,因此我认为这样的要求是不公平的。
相反,简单地阻止“PayPal”(字面上就是“PayPal”,没有变体或任何拼写错误)是一种简单、可行和有效的措施,可以防止Let ‘s Encrypt加密证书用于最危险和恶意的使用。
当Eric发布他的帖子时,Let ‘s Encrypt已经签发了709个包含“PayPal”的证书。现在这个数字是988。
988张Let ‘s Encrypt证书。
以下是其中一个网络钓鱼网站的例子:
你能很坦诚地说这不会欺骗到普通用户吗?那么受过教育的用户呢?你呢?
某些互联网用户会“寻找挂锁”的踪迹,以此作为判断网站是否合法的指标——CA严厉打击网络钓鱼时,这是常见的建议。就在上个月,谷歌就提出了这一建议(值得赞扬的是,该公司在这一建议被指出后就进行了改正)。虽然不让用户看这一点有充分的理由,但对一些人来说,这已经是一种习惯的行为了。考虑到谷歌Chrome在所有HTTPS连接的挂锁旁都显示了“安全”,将HTTPS与合法性关联起来的风险比以往任何时候都要高。
Paypal是网络钓鱼最常见的目标之一,因为它在世界各地,尤其是在发达国家非常流行。钓鱼者越能模仿真实的PayPal.com网站,他们的骗局就越有效。在域名中正确拼写“PayPal”,并结合HTTPS的浏览器指示器(通过Let ‘s Encrypt PayPal证书实现),能够帮助最逼真地进行模仿。
Let ‘s Encrypt PayPal网络钓鱼,一个独特的威胁
包含“PayPal”的Let ‘s Encrypt证书正被广泛用于网络钓鱼,它们对无辜的用户构成了巨大而独特的威胁。
通过使用拥有超过4000万个受公众信任的SSL证书的Censys.io,我们发现在Let ‘s Encrypt之前,包含“PayPal”一词的钓鱼证书还没有得到广泛颁发。Censys的数据显示,2012年8月至2016年8月,所有其他CA加起来共签发了258张包含“PayPal”的证书,这些证书可能被用于钓鱼。
Let ‘s Encrypt已经签发了近4倍于此的证书,其中大多数都是在2016年11月之后签发的,这个速度比之前所看到的任何时候都要快。如果继续按当前的速度签发,到4月份,Let ‘s Encrypt PayPal证书的数量就将增加一倍,达到2000个。
我们查看了988张 Let ‘s Encrypt PayPal证书,看看它们是如何使用的。结果发现,绝大多数都用于了钓鱼网站。988张证书中,只有4张看起来是没有恶意的(少于0.5%)。其中三张证书似乎是合法网站所有,但我们无法确定其用途,而且它们的活动已经不再那么积极了。最后一张Let ‘s Encrypt PayPal证书正用于一个准备站点,旨在测试PayPal集成。
来自Let ‘s Encrypt的“PayPal”证书是唯一的,因为它们是钓鱼者的攻击目标中,发行量最大的一个,几乎只有钓鱼者才在使用它们,而且屏蔽这个词几乎不可能引发误报。
其他大品牌就不满足这些属性了,因此在没有与合法用户进行交涉的情况下是不能进行屏蔽的。例如,“Apple”是一个通用词,它的很多用法与这家电脑公司并没有关系。再比如,对于那些提供SEO服务的公司来说,“谷歌”会引发误报。在Let ‘s Encrypt颁发的证书中,似乎没有合法使用“BankOfAmeriCA”,但是黑客对它的关注度十分低,因为它只颁发了16张。
大多数其他术语也不能满足这些属性——这就是为什么建立一个域名或品牌的任何类型的“Alexa Top X”黑名单是不可行的,因为这样做会伤害Let ‘s Encrypt的用户。
但“PayPal”并非如此。它的使用几乎完全是恶意的,因此是值得屏蔽的,因为它是钓鱼者的攻击目标中发行量最大的一个。考虑到这个术语的恶意使用倾向,以及PayPal从赛门铁克获得SSL的事实,今后不应该再颁发Let ‘s Encrypt PayPal证书。
结论
这些“PayPal”钓鱼网站大多都由安全浏览等服务进行了检测和屏蔽,从而有效保护了用户的安全。然而,他们在本质上是被动的,就好像在玩追赶游戏一样。无论谷歌(以及勤奋的记者)能够多快速地捕捉到它们,在发布和检测之间仍然存在一个窗口,在这个窗口中,一些人——甚至几十人或几百人——可能会因为“PayPal”钓鱼网站上令人十分信服地SSL使用而受到伤害。
即使屏蔽了“PayPal”证书,网站钓鱼和恶意网站每天仍有可能使用SSL证书吗?是的,当然。我们都知道钓鱼者将会采取的应对措施是使用“PayPal”的次优仿制品。
大多数CA的过滤器都会筛选出像“PaayPal”和“PayPel”这样的变体,这一直都是,并且将继续是可能的。但是这些变体对于网络钓鱼来说效果不是太好,因此,从攻击者手中拿走最好的武器在安全性上是一个显著的改进。
未来会是这样的:用户可以更细致地,或者至少更准确地理解挂锁图标所代表的内容;2FA将得到广泛使用;HTTPS如此受欢迎,以至于浏览器可能颠覆安全UI的模式。
但这就是未来。
鉴于目前用户的教育状况,很难证明继续颁发被大量证明对用户有害的证书是合理的。包含“PayPal”的证书是一种严重而独特的威胁,值得进行关注并有自己的解决方案。这就是为什么我希望开始与Let ‘s Encrypt进行对话,讨论拦截包含“PayPal”的证书的发行一事。
阻止这些证书的进一步发行,将有助于保护用户不受网络钓鱼诈骗的影响,从而不会给Let ‘s Encrypt带来后勤或财务上的负担,也不会影响它的用户。
