Удостоверяющий центр Let’s Encrypt выпустил свыше 15 тысяч SSL-сертификатов, используемых для фишинга с PayPal

Как показали исследования экспертов, удостоверяющий центр Let’s Encrypt, снискавший популярность благодаря выпуску бесплатных SSL-сертификатов, выдал более 15 000 SSL-сертификатов, которые впоследствии использовались для фишинга с PayPal.

Злоумышленники и бесплатные SSL-сертификаты – две стороны одной медали?

Эксперты призвали Let’s Encrypt остановить выпуск SSL-сертификатов для доменов, содержащих слово PayPal и его видоизмененные версии. В 99% случаев такие домены создаются для фишинга. Если же посетитель видит замочек в адресной строке своего браузера, он считает, что находится на легитимном сайте, принадлежащем официальной организации, а потому вводит свои ценные персональные данные, которые затем передаются злоумышленникам. В итоге снижается общее доверие к SSL, поскольку сайты с SSL-сертификатами перестают считаться безопасными.

Пик выдачи SSL-сертификатов от Let’s Encrypt для фишинга с PayPal пришелся на ноябрь 2016 года. С тех пор удостоверяющий центр начал выпускать фишинговые SSL-сертификаты примерно по 100 в день. Помимо PayPal в отчетах экспертов также фигурируют Google, Bank of America, Apple ID и т.д. Были выпущены тысячи SSL-сертификатов для фишинга с этими брендами и компаниями.

Механизм выпуска SSL-сертификатов от Let’s Encrypt нужно пересмотреть

Злоумышленники уже давно адаптировались к новой реальности и легко получают DV SSL-сертификаты для целей обмана пользователей. Конечно, поддельные сайты быстро выявляются и блокируются, но даже пары дней зачастую хватает, чтобы нанести посетителям существенный ущерб.

Эксперты обвиняют Let’s Encrypt в плохом прогнозировании последствий массовой выдачи бесплатных сертификатов. Безусловно, задача перевода всей сети на HTTPS – это позитивный фактор, который можно только приветствовать, но этому процессу недостает более жесткой, скрупулезной проверки безопасности. Часть вины в данной ситуации несут на себе и браузеры, которые помечают любой сайт с HTTPS как безопасный/надежный, хотя на самом деле можно говорить лишь о создании кодированного канала.

Стремление к переводу большинства сайтов на HTTPS должно быть обдуманным и взвешенным, иначе пользователи просто перестанут верить SSL-сертификатам. Удостоверяющий центр Let’s Encrypt должен будет предпринять меры, которые позволят ограничить выпуск SSL-сертификатов для фишинговых сайтов. В каком виде они будут реализованы, как это отразится на планах по переводу сети на HTTPS – все это мы обязательно узнаем в ближайшем будущем.