由于使用了一个相对有说服力的域名和有效的 SSL 证书(特别是这个网站),我最近几乎被网络钓鱼企图抓住了。检查证书时发现它是由 Let's Encrypt 颁发的。所以我去了那里,据我所知,颁发证书的过程是自动化的——如果你拥有一个域,你可以获得证书。
然而,这不是一个安全问题,而且它(至少部分)不违背 SSL 证书的观点吗?借助这些证书,恶意网站现在可以看起来合法,这使得它们更有可能成功。就我而言,我在 URL 上看到了绿色挂锁,并认为一切都很好。现在看来,由于这个证书颁发者,用户应该点击那个挂锁并检查谁颁发了证书(如果它来自letsencrypt,则关闭选项卡??)。
所以我想知道,考虑到安全风险,为什么浏览器默认接受这个证书?考虑到谷歌在安全方面的谨慎程度,Chrome 确实让我感到特别惊讶。他们认为letsencrypt是个好主意吗?
我认为您误解了 SSL 证书实际验证的内容,以及它旨在防止的内容。
标准证书仅证明证书的所有者实际上控制了相关域。因此,g00dbank.com仅证明所有者控制g00dbank.com域的证书。它不证明所有者是一家银行,她是好人,或者该网站实际上是众所周知的 Good Bank Incorporated。
因此 SSL 并非旨在防止网络钓鱼。仅仅因为你看到左角的绿色锁并不意味着一切都很好。您还需要验证您在正确的网站上 - 您在goodbank.com(而不是 phishy网站上g00dbank.com)并且goodbank.com实际上是 Good Bank Incorporated 的网站。
为了让普通用户更容易做到这一点,有一种称为扩展验证 (EV) 证书的东西。这些还通过要求您做一些文书工作来验证您是您声称的法律实体。大多数主要浏览器通过在地址栏中显示所有者的姓名来突出显示它们。
因此,要获得 EV 证书,网络钓鱼者g00dbank.com必须开办一家真正的企业(从而留下书面记录),即便如此,他们也可能不会获得证书,因为他们的名字要接近敏感目标。
Lets Encrypt 不颁发 EV 证书。他们发行普通的。但是您遇到的网络钓鱼者可能从任何地方获得了证书。事实上,正如IMSoP在评论中指出的那样,Lets Encrypt 使用的方法也被许多已建立的 CA:s 采用,唯一的区别是 Lets Encrypt 更高效、更便宜。所以这与 Lets Encrypt 没有任何关系,阻止它们不会解决任何问题。
为什么您的浏览器信任来自 Let's Encrypt 倡议的证书?
只是为了说明这部分:您的浏览器/计算机信任这些证书,因为它承认根 CA“DST Root CA X3”并将其存储在具有受信任证书的列表中。CA“DST Root CA X3”再次信任 Let's Encrypt 并签署了他们的证书。
免费/便宜/易于获得的证书是安全问题吗?
不。
拥有签名证书或提供 https 并不意味着该网站是恶意的。它仅证明您连接到的服务器具有该域的有效和签名证书。
证书不再保证证书本身的内容。在 Let's encrypt 证书的情况下,所有可以保证的是您连接的服务器属于拥有您用来连接它的域名的同一实体。
还有另一类称为“扩展验证证书”的证书,颁发 CA 会在其中进行更多检查。基本上,验证域由现有商业实体拥有。浏览器通常会在证书描述中显示带有绿色指示器的此类证书,其中包含更多详细信息(例如,Chorme 将添加“连接安全且公司已知”)。
基本上,存在有效的 SSL 证书并不表示目标域是安全的。即使是 EV 证书也不能告诉你太多(虽然它好一点)。