Let's Encrypt gaf SSL-certificaten uit voor phishing

Toegevoegd door - Ariën -, 2 jaar geleden

Let's Encrypt gaf SSL-certificaten uit voor phishingDe organisatie Let's Encrypt die gratis SSL-certificaten uitdeelt heeft in een jaar tijd zo'n 15.000 certificaten voor PayPal-phishingsites uitgegeven. Dat meldt Vincent Lynch van The SSL Store. Sinds maart vorig jaar zouden er 15.270 SSL-certificaten zijn uitgegeven met daarin het woord paypal. Hiervan zouden er naar schatting 96,7 procent bedoeld zijn voor frauduleuze phishing-websites. In november zou er een aanzienlijke stijging van de aanvragen zijn gemeten, waarbij er in februari van dit jaar zelfs meer dan 5.000 zouden zijn aangevraagd.

De gratis certificaten van Let's Encrypt zouden aantrekkelijk zijn voor cyber-criminelen zijn, met name omdat ze snel aan te vragen zijn en tevens snel op te zetten zijn.

Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) dat wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van SSL-certificaten zo eenvoudig mogelijk te maken.

Lynch vreest dat er steeds meer certificaten voor deze phishing-sites worden aangevraagd: "Ervan uitgaande dat de trend zich doorzet, zal Let's Encrypt tegen het einde van dit jaar nog eens een extra 20.000 'PayPal' certificaten uitgeven", aldus de onderzoeker. Hij roept Let's Encrypt dan ook op om te stoppen met het uitgeven van SSL-certificaten met daarin het woord PayPal.

Gerelateerde nieuwsberichten

06/01/2018 Let's Encrypt passeert 177 miljoen SSL-certificaten
22/11/2017 Let's Encrypt heeft aandeel van 36% op het internet
24/04/2017 Unicode-mogelijkheden domeinnamen gevoelig voor phishing

 

Er zijn 1 reacties op 'Lets encrypt gaf sslcertificaten uit voor phishing'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Willem vp
Willem vp
2 jaar geleden
 
1 +1 -0 -1
Ik vind dit een beetje een tendentieus artikel. Het probleem bestaat ook bij andere CA's, alleen is het daar verstopt (en dus nog veel gevaarlijker).

Om te beginnen: Let's Encrypt geeft DV-certificaten uit. Een dergelijk certificaat krijg je op basis van het feit dat je het beheer hebt van een dergelijk domein. Vanuit gebruikersperspectief garandeert het dus alleen maar dat je communiceert met de server die in het certificaat wordt genoemd (en dus geen slachtoffer bent van een MITM-attack), en dat de communicatie gecrypt wordt (zodat wachtwoorden e.d. niet kunnen worden afgeluisterd). Het zegt niets over de identiteit van degene die het certificaat heeft aangevraagd, en er is ook geen enkele CA die een dergelijke controle uitvoert; daarvoor zijn de (duurdere) EV-certificaten bedacht.

En dan komt nu het echte probleem. Ik vind zelfs dat Let's Encrypt hier een applausje verdient door het inzichtelijk te maken.

Stel: ik zet een frauduleuze site op met de naam paypal.phphulp.nl. (Laten we voor het voorbeeld even aannemen dat ik het beheer heb over phphulp.nl.) Wil ik een Let's Encrypt-certificaat hebben, dan moet ik dat expliciet aanvragen voor paypal.phphulp.nl. Heb ik er echter een paar tientjes voor over, dan neem ik (bijvoorbeeld) een Comodo PositiveSSL Wildcard Certificate voor *.phphulp.nl. Ook domain validated, bovendien uitgegeven door een mogelijk als betrouwbaarder bekend staande CA, en ik kan daar paypal.phphulp.nl onder draaien zonder dat de CA het uberhaupt merkt.

Gezien de aard en het doel van DV-certificaten vind ik het dus twijfelachtig om LE op te roepen dergelijke certificaten niet uit te geven.

Om te reageren heb je een account nodig en je moet ingelogd zijn.

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.