Let's Encrypt gaf SSL-certificaten uit voor phishing
De organisatie Let's Encrypt die gratis SSL-certificaten uitdeelt heeft in een jaar tijd zo'n 15.000 certificaten voor PayPal-phishingsites uitgegeven. Dat meldt Vincent Lynch van The SSL Store. Sinds maart vorig jaar zouden er 15.270 SSL-certificaten zijn uitgegeven met daarin het woord paypal. Hiervan zouden er naar schatting 96,7 procent bedoeld zijn voor frauduleuze phishing-websites. In november zou er een aanzienlijke stijging van de aanvragen zijn gemeten, waarbij er in februari van dit jaar zelfs meer dan 5.000 zouden zijn aangevraagd.
De gratis certificaten van Let's Encrypt zouden aantrekkelijk zijn voor cyber-criminelen zijn, met name omdat ze snel aan te vragen zijn en tevens snel op te zetten zijn.
Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) dat wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van SSL-certificaten zo eenvoudig mogelijk te maken.
Lynch vreest dat er steeds meer certificaten voor deze phishing-sites worden aangevraagd: "Ervan uitgaande dat de trend zich doorzet, zal Let's Encrypt tegen het einde van dit jaar nog eens een extra 20.000 'PayPal' certificaten uitgeven", aldus de onderzoeker. Hij roept Let's Encrypt dan ook op om te stoppen met het uitgeven van SSL-certificaten met daarin het woord PayPal.
Gerelateerde nieuwsberichten
29/12/2023 Let's Encrypt heeft al 377 miljoen certificaten verstrekt
19/04/2023 SIDN: 65% van Nederlandse phishingsites binnen 24 uur offline
24/03/2023 OM eist 2 jaar celstraf voor phishing-crimineel
Er zijn 1 reacties op 'Lets encrypt gaf sslcertificaten uit voor phishing'
Om te beginnen: Let's Encrypt geeft DV-certificaten uit. Een dergelijk certificaat krijg je op basis van het feit dat je het beheer hebt van een dergelijk domein. Vanuit gebruikersperspectief garandeert het dus alleen maar dat je communiceert met de server die in het certificaat wordt genoemd (en dus geen slachtoffer bent van een MITM-attack), en dat de communicatie gecrypt wordt (zodat wachtwoorden e.d. niet kunnen worden afgeluisterd). Het zegt niets over de identiteit van degene die het certificaat heeft aangevraagd, en er is ook geen enkele CA die een dergelijke controle uitvoert; daarvoor zijn de (duurdere) EV-certificaten bedacht.
En dan komt nu het echte probleem. Ik vind zelfs dat Let's Encrypt hier een applausje verdient door het inzichtelijk te maken.
Stel: ik zet een frauduleuze site op met de naam paypal.phphulp.nl. (Laten we voor het voorbeeld even aannemen dat ik het beheer heb over phphulp.nl.) Wil ik een Let's Encrypt-certificaat hebben, dan moet ik dat expliciet aanvragen voor paypal.phphulp.nl. Heb ik er echter een paar tientjes voor over, dan neem ik (bijvoorbeeld) een Comodo PositiveSSL Wildcard Certificate voor *.phphulp.nl. Ook domain validated, bovendien uitgegeven door een mogelijk als betrouwbaarder bekend staande CA, en ik kan daar paypal.phphulp.nl onder draaien zonder dat de CA het uberhaupt merkt.
Gezien de aard en het doel van DV-certificaten vind ik het dus twijfelachtig om LE op te roepen dergelijke certificaten niet uit te geven.
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu