黑客安装免费SSL证书，让我们在恶意网站上加密

正如我早些时候强调的那样，很明显让我们加密免费的HTTPS证书这不仅有助于合法网站运营商加密用户流量，还可以帮助犯罪分子通过安全网站用恶意软件骚扰无辜用户。

Let's Encrypt允许任何人获得免费的SSL/TLS(安全套接字层/传输层安全)用于加密服务器和用户之间传递的所有Internet流量的web服务器的证书。

Let's Encrypt已被所有主要浏览器识别，包括谷歌的Chrome、Mozilla的Firefox和微软的Internet Explorer。

该组织从上个月开始向所有人提供免费的HTTPS证书，任何人都可以通过几个简单的步骤建立HTTPS网站(如何安装免费SSL证书).

然而，最麻烦的是，Let's Encrypt free SSL证书不仅被网站所有者用来保护其用户连接，还被网络犯罪分子滥用，在计算机上传播恶意软件。

趋势科技的研究人员发现了一个反腐败运动12月21日，该公司在计算机上安装银行恶意软件，并使用Let’s Encrypt颁发的免费SSL证书来隐藏其恶意流量。

恶意广告是一种利用网络广告传播恶意软件的技术。通过在合法网站上偷偷插入恶意广告，恶意软件作者可以将用户重定向到恶意网站，借助攻击工具包提供恶意软件负载。

长期以来，恶意软件作者从地下市场购买被盗的SSL证书，并将其用于恶意攻击活动。幸运的是，这些证书最终被其合法所有者发现并作废。

然而，随着Let's Encrypt free SSL证书的推出，恶意软件作者甚至不再需要为SSL证书付费，而是可以免费申请一个证书。

Trend Micro研究人员发现的malvertising活动持续到12月31日，主要影响日本用户。

日本人收到恶意广告，将他们重定向到一个恶意网站，该网站使用Let’s Encrypt颁发的证书通过加密的HTTPS提供恶意软件。

该恶意网站使用钓鱼者攻击工具包，以便用恶意软件感染受害者的电脑Vawtrack银行特洛伊木马，这是专门为搜查他们的网上银行账户而设计的。

他说，在安装Let's Encrypt证书之前，这场活动背后的攻击者破坏了一台未命名的合法web服务器，并为该服务器的网站设置了自己的子域陈若瑟他是趋势科技的欺诈研究员。

然后，网络骗子在受损服务器上安装了Let's Encrypt证书，并从该子域托管了一则恶意广告（也包含反病毒代码）。

问题是，让我们只加密检查主域与谷歌的安全浏览API，以查看请求SSL证书的域是否已被标记为恶意软件或网络钓鱼。

然而，让我们加密永远不要检查影子域，比如在这种情况下，malvertising活动的作者很容易请求并获得了让我们加密证书的批准。

此外，我们加密有一个不撤销证书的策略。该组织在10月份解释说，认证机构没有能力对其发布的内容和证书进行监管不要再谈论网站的内容或运营商'.

"域验证（DV）证书不包括任何有关网站声誉、真实身份或安全性的信息。"

然而，趋势科技不同意这种做法，称，证书颁发机构（CA）“应该愿意取消发给被各种威胁行为者滥用的非法方的证书。”

换句话说，应该有一些机制来防止域及其子域的未授权证书注册。

Trend Micro已经联系了Let's Encrypt项目和合法域名的所有者，通知他们有关恶意攻击活动的信息。

以下是你的看法：

用户应该意识到保护“网站并不总是或一定是一个安全的网站，最好的防御工具仍然是一个简单的方法，即：

始终保持软件的最新状态，以尽量减少网络罪犯可能利用的漏洞数量。

对于在线广告经纪人来说，一种方法是实施内部控制，以阻止恶意广告。