【严重】Let's Encrypt免费SSL证书遭黑客利用

2016-02-22, 发表于【业界时事】

Let’s Encrypt 是一个旨在让每个网站都能使用HTTPS加密服务的项目,该项目获得了Mozilla、思科、Akamai、IdenTrust和EFF等组织的支持,由Linux基金会托管。但到目前 Let’s Encrypt CA还没有被加入到信任CA列表,用户需要自己添加ISRG root CA才能在浏览器上正常访问 Let’s Encrypt 签名的HTTPS网站(第一个网站是https://helloworld.letsencrypt.org/)。它已经向Mozilla、Google、Microsoft和Apple递交了root CA申请,并于2015年9月宣布发行了第一个证书。

据媒体报道,安全公司Trend Micro发布消息称,一个恶意广告服务器通过植入银行木马,可自动感染访客Windows设备,让黑客在用户不知情的情况下远程访问系统。此恶意服务器安装了Let's Encrypt的免费SSL证书(服务器证书),以使其链接可以显示代表安全的HTTPS标识和网站服务器认证信息,骗取用户信任。Trend Micro的报告指出,Let's Encrypt的服务存在潜在安全问题,并呼吁该组织在发现免费SSL证书被滥用之后就收回。




Let's Encrypt于2015年起为申请者签发免费证书。这本是一件好事,但却存在安全隐患。Let's Encrypt免费证书遭黑客利用事件很可能只是一个开始。

环度科技工程师建议用户在正式使用中选择更高认证级别的 OVSSL 或者 EVSSL