Let's Encrypt颁发的免费HTTPS证书已遭黑客利用-阿里云开发者社区

开发者社区> 开发与运维> 正文

Let's Encrypt颁发的免费HTTPS证书已遭黑客利用

简介:

自打数字证书认证机构(CA)Let’s Encrypt开启beta项目,为公众提供免费HTTPS证书以来,才仅有一个月时间,黑客们已经在打这项服务的主意,通过欺骗性的域来部署他们的恶意软件。

image

12月份时,安全公司Trend Micro发布消息说,有日本用户访问到一个恶意广告服务器,其上部署了Angler Exploit Kit——它会下载银行木马,自动感染Windows设备。这种木马可让黑客在用户不知情的情况下远程访问系统。

该公司表示,这种恶意广告服务器采用一种名为domain shadowing的技术,攻击者可诱导用户至已受控制的服务器,使用来自Let's Encrypt的安全证书保护的子域掩饰他们的行为。

按照Trend Micro的观察,黑客们会搞个广告,看起来是链接至合法域的。Trend Micro表示,这可能是因为Let's Encrypt在颁发证书之前仅靠谷歌安全浏览API核查域。这无法阻止黑客获取证书,以及在合法站点的保护下创建带恶意软件的子域。Trend Micro的报告表明,Let's Encrypt的服务存在潜在安全问题,并呼吁该组织在发现证书被滥用之后就收回。

本文转自d1net(转载)

版权声明:本文首发在云栖社区,遵循云栖社区版权声明:本文内容由互联网用户自发贡献,版权归用户作者所有,云栖社区不为本文内容承担相关法律责任。云栖社区已升级为阿里云开发者社区。如果您发现本文中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,阿里云开发者社区将协助删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章