过去一年,Let's Encrypt CA 被发现向含有 PayPal 一词的域名或证书标识签发了 15,270 个 SSL 证书,其中 14,766(96.7%)个证书是签发给了托管在钓鱼网站上的域名。Let's Encrypt CA 不是一个向钓鱼网站签发 SSL 证书的 CA,其它 CA 也存在这一问题,但数量要比提供免费服务的 Let's Encrypt CA 低几个数量级(只有几百个)。钓鱼者较少其它 CA 的一个原因是这些 CA 提供的是商业服务,会拒绝含有热词如 PayPal 的证书申请,而 Let's Encrypt CA 的证书签发是自动化的并没有专人审查。Let's Encrypt CA 旨在推动更安全的 HTTPS 网站的普及,它认为自己没有责任去检查网站是钓鱼网站还是合法网站。
使HTTPS证书“快捷、开放、自动且免费”的一个糟糕的后果(这虽然完全可以预料)是,不管好人还是坏人都会利用这一便利条件,为其网站获取HTTPS证书。
今天那些坏人能够轻易将一个很普通的钓鱼网站做得更可信。
这样做出来的钓鱼网站看起来几乎和真实网站一模一样。
到2016年12月8日止,LetsEncrypt已颁发了409个主机名中包含“Paypal”的证书;截至笔者截稿,这个数字已达到了709。
