当前位置 : 首页  数码电子 正文

警惕免费HTTPS认证服务被滥用

2018-07-26 18:00 来源:网络 作者:网络

当前,为了应对日益恶化的互联网环境,各大网站纷纷向HTTPS(超文本加密传输协议)上过渡,不过鉴于对网站服务器主机进行HTTPS认证需要支付一定的认证费用,导致很多网站由于没有预算向HTTPS认证机构提出申请而无法升级HTTPS。

被

警惕免费HTTPS认证服务被滥用

对此,非营利网络认证发放机构Let'sEncrypt在此前就推出了开源免费的HTTPS认证服务。不过,近期有专家发现,Let'sEncrypt发放的认证证书有被滥用的趋势。据统计,迄今已发行15270个内含PayPal字样的证书,当中约有96.7%被用于钓鱼网站,这表示约有14766个钓鱼网站已经拥有与PayPal相关的证书。

据悉,Let'sEncrypt是由电子前哨基金会(ElectronicFrontierFoundation)联合Mozilla、Google、微软、苹果等巨头共同设立的HTTPS认证组织,由公益公司InternetSecurityResearchGroup(ISRG)负责营运。通过其提供免费且自动化的证书服务,还可把原本需要耗时数小时的证书申请流程缩短至30秒。

Let'sEncrypt于2016年1月正式启动,截至去年底已发行超过2000万张证书,近期,每天的凭证发行量已达到100万张。然而,免费且快速的证书发行流程同样也降低了不法黑客取得证书的门槛。

研究人员发现,利用crt.sh搜寻引擎查找使用内含PayPal字样的证书后发现,PayPal钓鱼网站的泛滥程度远比设想的更加严重。由Let'sEncrypt发行的证书虽然加密了网站的传输内容,但不幸的是,这也包括了恶意网站在内。

除了PayPal之外,研究人员发现Let'sEncrypt还发行了大量包含美国银行(BankofAmerica)、AppleID与Google等字样的证书,为互联网用户带来威胁。由于Let'sEncrypt并不具备内容审查权限,同时也缺乏可辨识网站内容安全性的资讯及验证程序,因此只能建议互联网用户通过Google的SafeBrowsing或微软的Smartscreen来保障网络上的浏览安全了。

以上词条内容均来源网络,均系原作者观点及所有,仅供参考,不代表京东立场,感谢您对京东的支持,祝您购物愉快!

热门推荐文章
相关优评榜
品类齐全,轻松购物 多仓直发,极速配送 正品行货,精致服务 天天低价,畅选无忧
购物指南
购物流程
会员介绍
生活旅行/团购
常见问题
大家电
联系客服
配送方式
上门自提
211限时达
配送服务查询
配送费收取标准
海外配送
支付方式
货到付款
在线支付
分期付款
邮局汇款
公司转账
售后服务
售后政策
价格保护
退款说明
返修/退换货
取消订单
特色服务
夺宝岛
DIY装机
延保服务
京东E卡
京东通信
京东JD+