Let’s Encrypt证书的利与弊

Let’s Encrypt旨在提供免费且易于使用的TLS和SSL证书，但该组织最近经历了一些失误。Let’s Encrypt证书颁发机构由互联网安全研究小组于2016年创建为非营利组织，上周在其自动证书管理环境（ACME）协议中禁用了TLS-SNI-01验证，原因是一个严重漏洞被曝光。安全研究员Frans Rosen of Detectify发现了如何滥用ACME TLS-SNI-01规范，并获取他未控制域名的Let’s Encrypt证书。

该组织还面临网络犯罪分子和威胁行为者使用Let’s Encrypt证书进行网络钓鱼攻击和其他威胁的持续问题。证书提供商The SSL Store去年春季发布的研究显示，在14个月内，超过15,000个Let’s Encrypt证书被颁发用于设计用于网络钓鱼的PayPal域名。上个月，网络安全供应商PhishLabs报告称，使用HTTPS的网络钓鱼网站急剧增加，这很大程度上得益于从Let’s Encrypt等组织获取免费证书。

虽然Let’s Encrypt向合法组织颁发证书，但恶意行为者也可以获取证书，因为该过程是自动化的且检查很少。免费证书颁发机构是个好主意吗？Let’s Encrypt是否应该采取更多措施来阻止滥用？应该如何防止威胁行为者滥用Let’s Encrypt证书？SearchSecurity编辑Rob Wright和Peter Loshin在本期Risk & Repeat播客中讨论了这些问题。