本文共 1137 字，大约阅读时间需要 3 分钟。

Let's Encrypt 和 Comodo 等机构在 2017 年 1 月至 3 月期间颁发了大量免费 SSL 证书，这些证书被用于明显具有网络钓鱼和诈骗意图的域名。根据 Netcraft 的调查，其中 96% 的有效 SSL 证书来自这些机构。更令人担忧的是，这些证书被用于超过 47,500 个钓鱼网站攻击，其中 19,700 个网站被完全拦截。值得注意的是，61% 的完全拦截的网站使用了 Let's Encrypt 颁发的证书，而 36% 使用了 Comodo 的证书。

此外，Mozilla Firefox 的遥测报告显示，约 55% 的页面加载通过 HTTPS。随着 HTTPS 页面增长的关键因素是轻松获取有效证书的能力，这也为欺诈者提供了便利。许多钓鱼网站具备明显的欺诈性指数，其 SSL 证书却由可信机构颁发。这种现象表明，SSL 证书本身并不能完全阻止网络钓鱼和诈骗活动。

Let's Encrypt 的政策是基于安全浏览 API 检查证书，但这无法对预签发的证书提供有效拦截。同时，该机构也有限制域名列表，阻止向明显欺诈性域名颁发证书。尽管如此，Netcraft 的调查仍然发现大量钓鱼网站使用 Let's Encrypt 的证书，这暴露了当前 SSL 证书颁发机制的漏洞。

钓鱼网站利用 HTTPS 连接的危险性在于其被视为可信站点。消费者通常通过挂锁、安全指示标志和 "https://” 的存在来判断站点的安全性。然而，这些指示并不能完全保证站点的合法性或安全性。例如，钓鱼网站可能伪装成知名社交媒体或电商平台，利用 HTTPS 连接以获取用户敏感信息。

谷歌 Chrome 和 Mozilla Firefox 浏览器近期改进了在非 TLS 端点上的密码输入框显示，非安全表单会触发警告。这些改进可能促使更多钓鱼网站采用 HTTPS，以获取 "安全（Secure）" 标志并避免负面提示。然而，这也意味着钓鱼者需要更复杂的技术手段来获取有效证书。

被 Netcraft 完全拦截的 19,700 个 主机名中，72.5% 的域名欺诈性指数超过 5.0，其中 49% 超过 7.0。相比之下，2017 年 4 月 Netcraft 的 SSL 抽样调查显示，随机抽取的 10,000 个 主机名的平均域名欺诈性指数为 0.72，其中 7% 超过 5.0，4.4% 超过 7.0。这表明，具有有效 SSL 证书的钓鱼网站的欺诈性显著高于随机抽样结果。

总之，免费 SSL 证书的普及虽然提升了 HTTPS 的普及率，但也为欺诈者提供了便利。Netcraft 的调查结果揭示了当前 SSL 证书颁发机制的不足，需要更多的技术层面的改进以弥补这一漏洞。

转载地址：http://obcfk.baihongyu.com/