揭秘HTTPS中S的另一面

就在我们刚刚弄清楚浏览器地址栏中“HTTPS”的重要性时,垃圾邮件发送者和恶意攻击者早就已经知道应该怎么将系统玩弄于股掌之间了。

1.png

  Let’s Encrypt

Let’s Encrypt是一款自动化服务,它可以利用证书来帮助用户将此前未加密的URL地址转换成经过加密且安全系数更高的HTTPS地址。这就非常棒了,尤其是在这个证书价格贵过黄金的年代,很多永和根本负担不起这样的开销。所以由此不难看出,Let’s Encrypt在提升网络安全性和用户体验度方面毫无疑问地做出了巨大的贡献。

但是,Let’s Encrypt也给安全技术部门带来了很大的麻烦。因为这是一个免费服务,而且任何小白都可以轻松地将HTTPS引入自己的网站中,而网络犯罪分子同样可以利用Let’s Encrypt来欺骗广大善良的互联网用户。

当一个网站使用的是HTTPS,那么不仅用户会认为自己可以信任这个网站(因为使用了加密链接),而且类似Google Chrome这样的浏览器同样会在地址栏前面显示一个绿色的安全图标以及“安全(Secure)”字样。更加重要的是,很多隐私以及安全倡导者也在不停地敦促用户当他们访问一个网站时一定要确定这个网站地址栏拥有这样的安全标志,因为他们认为只要有这种绿色安全标志的网站都是安全的。

2.png

  安全隐患

可能各位同学看到这里会觉得世界非常的美好,但事实并非如此。实际上,Let’s Encrypt现在已经成为了网络犯罪分子将钓鱼网站“合法化”的利器,这对于我们来说绝对是一个噩耗,而对于那些仅仅只能通过地址栏的绿色标识来判断网站安全性的用户来说,他们的“后院”随时都会起火。

根据证书经销商The SSL Store提供的信息,在2016年1月1日之2017年3月6日这段时间里,Let’s Encrypt总共颁发了15270份包含有“PayPal”字样的SSL证书。

需要提醒大家的是,The SSL Store仅仅是这些证书的一家提供商,所以Let’s Encrypt的使命并不是他们所真正关心的东西。而且根据他们提供的信息,上述绝大部分证书颁发于去年11月份,当时Let’s Encrypt几乎每天都会颁发将近一百个“PayPal”证书。根据随机抽查的数据显示,其中有96.7%的证书被用于伪装钓鱼网站等恶意活动。这家经销商表示,在研究人员调查伪造“PayPal”网站的过程中,他们还发现了很多其他的SSL钓鱼网站,受影响的服务商包括美国银行、Apple以及Google等。

这个问题已经存在了很多年了,而且目前的情况也是每况日下。在去年一月份,来自安全公司趋势科技(Trend Micro)的研究人员就发现了一个恶意广告活动,而这个活动主要针对的是那些使用了免费Let’s Encrypt证书的网站。当用户访问了恶意广告之后,便会被重定向至另一个托管了Angler Exploit Kit的站点。当用户访问了一个恶意Web页面之后,Angler将可以在用户毫不知情的情况下让目标主机感染恶意软件,而且整个过程完全不需要任何的用户交互。研究人员表示,超过50%的Angler所感染的都是勒索软件,所以在这类活动中,绝大部分的攻击者都是通过数据赎金来获取非法受益的。

3.png

趋势科技发现,这些恶意广告背后的攻击者在使用Let’s Encrypt申请HTTPS证书之前,还需要创建一个看起来真实性足够高的子域名,并以此来欺骗大部分的网上用户。这样一来,用户就可以看到钓鱼网站是拥有Let’s Encrypt证书的,这样就会让用户认为这是一个合法并且安全的网站了。

任何技术都存在两面性

一项优秀的技术诞生之后,即便它的设计初衷是好的,但它同样有可能被网络犯罪分子所利用,Let’s Encrypt也不例外。那么,我们为什么不能直接撤销掉那些很明显是伪造的PayPal证书呢?因为他们认为这并不是他们的问题。

Josh Aas是网络安全研究组织(ISRG,即Let’s Encrypt项目的管理方)的执行总裁,他在一月份接受InfoWorld的采访时表示,Let’s Encrypt并不需要对现在的HTTPS信任问题承担任何的责任,而且目前的证书颁发系统也无法完全帮助用户去抵御钓鱼网站以及恶意软件。Let’s Encrypt官方也将这个问题推给了Google、Firefox以及Safari等浏览器安全团队。因为Aas认为,浏览器的反钓鱼和反恶意软件机制相比证书颁发商而言则更加成熟和有效。

但是,即使Google将某个域名标记为了恶意HTTPS钓鱼网站,Let’s Encrypt也不会撤销他们的证书。因此,我们现在已经不能再通过浏览器地址栏前面的绿色标志以及“Secure”标记来判断一个网站是否安全了,这也意味着我们之前所做的相关安全普及工作也都白费了。

总结

我们应该尽可能地使用HTTPS,这一点毋庸置疑,但是我们并不能仅仅通过“HTTPS”就去判断一个网站是否安全。因为广大用户真的应该知道,HTTPS并不等于合法跟安全,而这也只适用于前几年的网络环境。因此,我们应该在点击某个链接之前,即使Chrome将这个链接标记为“安全”,我们也仍然要亲自检查链接的有效性以及地址中的单词拼写是否存在错误等因素,因为浏览器说它是安全的,它也并非真的安全,而这就是我们所处的网络安全世界,任何人都有可能犯错。

本文转自d1net(转载)

时间: 2024-10-27 01:51:11

揭秘HTTPS中S的另一面的相关文章

HTTPS中的加密算法相关概念

密码学在计算机科学中使用非常广泛,HTTPS 就是建立在密码学基础之上的一种安全的通信协议.HTTPS 早在 1994 年由网景公司首次提出,而如今在众多互联网厂商的推广之下 HTTPS 已经被广泛使用在各种大小网站中.在完全理解 HTTPS 之前,有必要弄清楚一些密码学相关的概念,比如:明文.密文.密码.密钥.对称加密.非对称加密.摘要.数字签名.数字证书. 密码(cipher) 密码学中的密码(cipher)和我们日常生活中所说的密码不太一样,计算机术语『密码 (cipher)』是一种用于加

HTTPS 中的加密算法相关概念

密码学在计算机科学中使用非常广泛,HTTPS 就是建立在密码学基础之上的一种安全的通信协议.HTTPS 早在 1994 年由网景公司首次提出,而如今在众多互联网厂商的推广之下 HTTPS 已经被广泛使用在各种大小网站中.在完全理解 HTTPS 之前,有必要弄清楚一些密码学相关的概念,比如:明文.密文.密码.密钥.对称加密.非对称加密.摘要.数字签名.数字证书. 密码cipher 密码学中的密码cipher和我们日常生活中所说的密码不太一样,计算机术语『密码cipher』是一种用于加密或者解密的算

站长揭秘SEO中不得不说的页面相关性

搜索引擎在计算排名的时候会计算页面关键词的相关性,相关性是排名过程中非常重要的一环,也是很多搜索引擎优化人员很感兴趣的话题之一,本文从五个方面和大家细谈搜索引擎的相关性计算.当用户搜索某个关键词的时候,搜索引擎需要多方面的处理才能返回用户想要的结果,一般会先处理搜索词,然后进行文件匹配,接着要确定初始子集,在确定了一定范围内的初始子集后,就是对页面相关性的计算,它对排名的影响非常大.今天和大家从五个方面总结影响相关性的主要因素,也欢迎大家指正. 第一.关键词常用程度:常用关键词对搜索排名的贡献率

揭秘支付宝中的深度学习引擎:xNN

本文介绍支付宝App中的深度学习引擎--xNN.xNN通过模型和计算框架两个方面的优化,解决了深度学习在移动端落地的一系列问题.xNN的模型压缩工具 (xqueeze) 在业务模型上实现了近50倍的压缩比, 使得在包预算极为有限的移动App中大规模部署深度学习算法成为可能.xNN的计算性能经过算法和指令两个层面的深度优化,极大地降低了移动端DL的机型门槛. 深度学习--云端还是移动端? 近来,深度学习(DL)在图像识别.语音识别.自然语言处理等诸多领域都取得了突破性进展.DL通常给人以计算复杂.

飞聊败因揭秘:中移动杀鸡取卵 内部管理混乱

前不久腾讯科技曝光中移动IM产品飞聊停用后,业界对此事关注陡然升温,针对飞聊死因的猜测更是满天飞,但真相往往只有一个.在与腾讯科技的深入交谈中,飞聊的员工道出了真正导致飞聊"死亡"的两大主因:无节制的业务接入需求和混乱不堪的内部管理. 飞聊的前世 自7月10日起,飞聊用户无法发送和接收来自飞信用户的信息,如果用户要继续与飞信好友联络,需下载最新的飞信客户端.换而言之,尽管飞聊产品形态仍会存在,但中移动后续将停止对该产品的一切开发和投入,并不再对之前版本进行任何更新和维护. 按照中移动内

揭秘美中情局对苹果设备的各种破解与监控研究

美国中央情报局(CIA)已花费了近10年的时间,专注于破解苹果设备的监听以及安全密钥破解. 据Intercept博客报道,美国国家安全局(NSA)的泄密者斯诺登撰写的绝密文档这样描述道:为了破解植入苹果移动处理器的加密密钥,美国中情局开发了一套特殊版本的Xcode(苹果公司开发的编程软件,用于编写iOS APP). 定制版Xcode Xcode是苹果公司开发的编程软件,是开发人员建立OS X和iOS应用程序的最快捷的方式.然而,这款开发软件是存在漏洞的.美国国家安全局.美国中情局或者其他间谍机构

揭秘DOTA2中的十大骗术 让骗子无从下手

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;  (危险指数8星)第一条:  山寨STEAM账号  山寨STEAMDOTA2ID  山寨阿里旺旺!(危险指数5星)  由于玩家的账号是可以修改的,所有骗子会在伪装交易双方的ID从而骗取软/饰品 .  破解:交易前查看 对方曾用名和库存核实后交易.  (危险指数7星)第二条:  在D2L上经常出现的,低价出东西,至宝Tb什么之类的,和你交易时会放很多箱子 或者乱七八糟

自制Https证书并在Spring Boot和Nginx中使用(转)

白话Https一文中, 介绍了Https存在的目的和工作原理,但多是偏向于原理性的介绍,本文介绍如何一步一步自制一个能够通过浏览器认证的Https证书,并讲解在Spring Boot环境和Nginx环境中服务器端的配置. 如果你还没有读过白话Https,我强烈建议你先去读一下.按照白话Https中的介绍,Https协议涉及到的主体主要有三个:客户端.服务端.以及CA机构.如下图所示: 在白话Https一文中,曾介绍一个服务要申请使用Https的流程.本文所介绍的流程,针对自制Https证书,更多

浏览器如何过滤加密页面中的广告

  简单实用的过滤扩展 为浏览器安装对应的功能扩展,是最常见的广告过滤方法之一,而利用它也可以对HTTPS协议传输的广告进行过滤.现在常见的广告过滤扩展有很多,这里我们来试一试uBlock Origin这款扩展.首先打开谷歌应用商店,搜索查找uBlock关键词,这时你会发现有两个相关的功能扩展.这里推荐大家安装uBlock Origin这个版本,因为这个版本是由原作者进行开发维护的,而uBlock版本则是由其他人进行维护的.当uBlock Origin安装完成后,在谷歌浏览器的工具栏找到该扩展的