Let's Encrypt 共发出了 15270 张含有“PayPal”的 SSL 证书
FunnyToy · 2017-03-22 17:16:31 +08:00 · 4314 次点击这是一个创建于 2804 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.thesslstore.com/blog/lets-encrypt-phishing/
在 2016 年 1 月 1 日至 2017 年 3 月 6 日期间, Let's Encrypt 共发出了 15270 张含有“ PayPal ”的 SSL 证书。基于随机抽样,这些证书中有 96.7 %用于钓鱼网站。 (*Φ皿Φ) 吓
在 2016 年 1 月 1 日至 2017 年 3 月 6 日期间, Let's Encrypt 共发出了 15270 张含有“ PayPal ”的 SSL 证书。基于随机抽样,这些证书中有 96.7 %用于钓鱼网站。 (*Φ皿Φ) 吓
 |
1
geeklian 2017-03-22 17:56:52 +08:00 via Android
所以一直没搞明白高端证书有啥用
|
 |
2
EPr2hh6LADQWqRVH 2017-03-22 18:03:28 +08:00
没毛病啊,又没在天朝,还得关键词过滤啊?
|
 |
3
ivmm 2017-03-22 18:04:30 +08:00  1
就算是收费证书,也可以签含有 “ paypal ” 子域名的证书来加密吧。
SSL 是通过加密实现信息传输的 “安全”,而不是因为 “安全” 所以 “安全” |
 |
4
dzxx36gyy 2017-03-22 18:08:48 +08:00 via Android
@ivmm 不一定的,这种域名你去签 comodo 之类会进特别流程,要求你证明商标所有权啥的,而不是像 Let's Encrypt 一样轻轻松松就发下来了
|
|
6
6IbA2bj5ip3tK49j 2017-03-22 18:26:55 +08:00
@dzxx36gyy 不是抬杠啊, wildcard 证书可破。
|
 |
7
shower 2017-03-22 18:29:24 +08:00
@dzxx36gyy 如果是泛域名证书的话的就可以了,比如我签了 *.123test.com 的证书,那么 paypal.123test.com 的子域也可以用这个证书而不用审核。如果域名再有点迷惑性的话,比如*.con.uk ,那么 www.paypal.con.uk 就很逼真了。
|
 |
9
stabc 2017-03-22 18:48:33 +08:00
你忘了加“震惊”二字。 Letsencrypt 发的是域名 SSL ,不是组织公司 SSL ,何来“含有 paypal 的 SSL 证书”?
|
|
11
shower 2017-03-22 19:00:18 +08:00
@aofall 那就 paypal.con.uk
|
 |
13
cevincheung 2017-03-22 19:09:30 +08:00
@shower #11 www 做 301 也行
|
 |
14
wdlth 2017-03-22 20:04:07 +08:00
非 Symantec Class 3 EV SSL 的站请勿随意支付。
|
 |
15
jasontse 2017-03-22 20:18:31 +08:00 via iPad
主机信任 != 品牌信任
要达成品牌信任请认准绿色地址栏 EV 证书 |
 |
16
ZeroClover 2017-03-22 21:45:28 +08:00
虽然 V2 很多人都吐槽 StartCom ,但是至少他们在某些安全认证方面做的还是不错的。
之前注册了个域名中包含 “ Google ”( googleapis )的域名用来做字体之类资源的反代,结果 StartCom 给拒了,问客服说是包含这种关键词的域名都不给签发证书,而 COMODO 和 AlphaSSL 就轻松签发了=。= 所以像 PP 这种网站还是得认 EV 证书(然而国产浏览器不显示 EV=。=) |
 |
17
nfroot 2017-03-22 21:47:09 +08:00
|
 |
18
JJaicmkmy 2017-03-22 22:25:17 +08:00
我之前在 StartSSL 签 gsearch.pw 这个域名(用来反代)的证书,也被额外审核了。
|
 |
19
msg7086 2017-03-24 15:08:37 +08:00
@nfroot 这不是商标触发的,而是高风险域名关键字触发的。
比如同样是商标,你签 adidas 没问题,但是签 paypal 就要进流程。 同理,就算不是商标,你签个 cdn 开头的子域,一样要进流程。 COMODO 那边我签个 cdn35.xxx.yyy 直接就拒发验证信了。 |
 |
20
kaneg 2017-03-25 17:12:21 +08:00
LE 仅仅提供验证域名的证书,其本意就只是在技术上确保被访问的域名和实际要访问的是一致的,且没有被篡改过,而且防窃听(当然假定不要被中间人攻击)。
要在业务上更进一步提供验证,就得靠更严格的审核流程。 正如蜘蛛侠里面说的,能力越大,责任越大。要提供更有价值的保障,就得更负责任。一些证书商号称提供更严格的验证,而实际做的确跟 LE 做的相差无几,这才是他们被人诟病的地方。 |
Select Language