Let's Encrypt免费SSL证书遭黑客利用

  据媒体报道,安全公司Trend Micro发布消息称,一个恶意广告服务器通过植入银行木马,可自动感染访客Windows设备,让黑客在用户不知情的情况下远程访问系统。此恶意服务器 安装了Let's Encrypt的免费SSL证书(服务器证书),以使其链接可以显示代表安全的HTTPS标识和网站服务器认证信息,骗取用户信任。Trend Micro的报告指出,Let's Encrypt的服务存在潜在安全问题,并呼吁该组织在发现免费SSL证书被滥用之后就收回。

免费SSL证书为何会被黑客利用

  作为网站信息安全的一项基础配置,越来越多的网站需要安装SSL证书,而为了加快SSL证书的普及,Let's Encrypt于2015年起为申请者签发免费证书。这本是一件好事,但却存在安全隐患。因为Let's Encrypt证书和目前所有完全免费的SSL证书一样,都是只验证网站域名所有权的DV证书(域名型证书),也就是只要申请人或申请机构信息和所申请的 域名信息一致就能获得证书。至于申请人信息的真实性、申请机构是否经过合法注册则被完全忽视。由于在审核签发过程中只需少量人工甚至不需人工,所以DV证 书成本极低,可以作为免费证书发放。但这种不严谨的审核方式造成黑客只需让申请信息与域名信息一致就能轻松获得证书。免费的DV证书是安全级别最低的 SSL证书,它仅能起到HTTPS信息加密的作用,而丧失了SSL证书的另一重要功能,即域名所有者身份的真实性验证。但如果身份是虚假的,那加密又有何 意义?

慎用免费SSL证书

  易维信-EVTrust技术工程师认为,近期Let's Encrypt免费证书遭黑客利用事件很可能只是一个开始。随着SSL证书的普及和用户越来越信任已安装SSL证书的网站,黑客也会利用这种信任,通过获 得免费证书为自己披上看似可信的外衣。在目前免费证书身份验证机制还不完善的情况下,出于对用户、网站自身安全的考量,网站主应慎用免费SSL证书,优先 考虑有着完整身份验证机制的OV证书(机构型证书)和EV证书(增强型证书)。OV证书不仅验证域名信息,而且要认证服务器、网站对应的机构实体是否存在 及合法。而EV证书的认证标准比OV证书更严格,是安全级别最高的SSL证书。

注: 当机构通过认证,部署Symantec EV SSL证书后,网址栏中可以展示机构的认证信息,出于安全考虑,Symantec没有颁发仅认证域名所有权的DV SSL证书。但考虑到部分用户希望体验SSL产品功能的需求, 易维信-EVTrust支持让客户可在一个月内免费退单退款。

 更多SSL证书信息,请访问【易维信-EVTrust】

转载于:https://www.cnblogs.com/wuxingit/p/5309738.html

易遭黑客利用,慎用免费的网站SSL证书!!!相关推荐

  1. 普大喜奔 | Azure 免费送网站SSL证书啦!

    点击上方蓝字关注"汪宇杰博客" 导语 就在今晨,微软推出了 App Service Managed Certificates 预览版.简单来说,这就是在 Azure App Ser ...

  2. P2P网贷易遭黑客攻击

    本文讲的是 P2P网贷易遭黑客攻击,P2P网贷的超高利率并不是那些缺乏现金的借款人唯一担心的事情,这些大批新兴的互联网金融网站也吸引了网络罪犯的注意.他们盯上了用户的账户信息,并将这些信息用于盗取存款 ...

  3. c#获取ssl证书有效性_c# – 获取网站SSL证书的公钥

    我不确定以下是否可行,因为我不是这方面的专家(安全,证书--等). 无论如何,我想要做的是使用C#代码获取网站SSL证书的公钥.就像有没有办法使用HTTP请求或其他东西从网站查询该信息? 为了让你们明 ...

  4. 如何判断网站SSL证书是否安装成功?

    想要将网站升级为https访问,申请和安装SSL证书是必不可少的步骤.特别是在安装SSL证书的时候,一定要认真仔细,不然很容易出现差错.那么在安装之后,如何判断网站SSL证书是否成功部署呢? 首页先浏 ...

  5. html显示证书错误代码,整理比较齐全的网站SSL证书报错错误码问题

    这不前天有一个客户网站SSL证书报错的问题终于花费时间给解决,原本看似普通的问题,居然折腾这么久.看来还是运维经验不够,不过好在通过各种排除法,重置发等策略进行解决.这里还是好在有强大的搜索引擎.这里 ...

  6. 腾讯财付通漏洞遭黑客利用 威胁QQ彩钻等付费用户

    7月7日,360安全中心独家发现腾讯财付通支付产品出现高危漏洞,导致其数字签名证书被黑客利用,其危害相当于为木马病毒颁发了"免死金牌",主要影响QQ彩钻.腾讯拍拍,以及接入财付通支 ...

  7. 腾讯财付通漏洞遭黑客利用

    7月7日,360安全中心发布重大安全警报称,腾讯公司旗下财付通支付产品出现高危漏洞,导致其数字签名证书被黑客利用制作木马病毒,而绝大多数杀毒软件无法防范.该漏洞将影响所有QQ彩钻.腾讯拍拍以及接入财付 ...

  8. 宜家新型智能灯泡被指易遭黑客入侵

    据英国<每日邮报>3月29日报道,宜家发布了一款智能LED灯泡,但专家称有遭黑客通过网络控制的风险. 此款TRDFRI LED灯泡可使用智能手机app或通过具有运动传感功能的遥控器控制.该 ...

  9. pfx证书密码怎么查询_网站是HTTP?10分钟变成HTTPS!域名免费添加配置SSL证书,变成https//环境...

    对于小程序request请求需要https域名.navigator.geolocation定位也需要在https环境下才可以生效等问题: 前端开发越来越需要https环境来来测试一下API接口和各类问 ...

最新文章

  1. python简易版实例_Python3之简单搭建自带服务器的实例讲解
  2. Struts2教程2:处理一个form多个submit
  3. 5G 行业专网 — 三大运营商的 5G 专网类型
  4. 犯罪心理解读Mybatis拦截器
  5. 【PAT乙级】1064 朋友数 (20 分)
  6. 如何使用JavaScript开发AR(增强现实)移动应用 (一)
  7. gibmacos 网络加速_黑苹果教程续集,利用EFI在线安装MacOS
  8. swiper.js pagination指示点不变_电缆故障点的四种实用测定方法
  9. ini_set ini_get 可操作配置参数列表 设置默认编码等
  10. mac安装python3.7_MAC 安装Python3.7
  11. 学习分享|量化风控从入门到放弃
  12. jQuery验证码发送时间秒递减(刷新存储cookie)
  13. 报表开发神器:phantomjs生成PDF ,Echarts图片,自动生成word文档实战
  14. 如何用html代码做表格里的对角线,如何用用div+css模拟表格对角线
  15. Web自动化漏洞检测工具:Xray
  16. Uri.parse()的各种用法
  17. 计算机数学基础 周密,一位计算机牛人的心得,谈计算机和数学.doc
  18. 网页鼠标点击特效案例收集(直播间红心同理)
  19. 二级考c语言还是办公软件好,计算机一级是什么水平 计算机一级和二级哪个高?...
  20. DisplayPort接口

热门文章

  1. java int byte数组_Java 中int与byte数组转换详解
  2. linux下的Tomact是什么
  3. 每天一个linux命令(15):tail 命令
  4. 【Ubuntu入门到精通系列讲解】Linux 终端命令格式
  5. 数据元素和数据项的区别
  6. iconfont 图标转为字体_阿里字体库iconfont使用方法
  7. 开展网络营销推广能为企业网站带来怎样的网络营销推广优势?
  8. 网站SEO优化该如何提高用户粘度?
  9. genymotion报错Your CPU is incompatible with virtualization technologies
  10. wiredtiger存储引擎介绍——本质就是LSM,当然里面也可以包含btree和列存储