购买流程 付款方式 常见问题 在线提问  续租服务  购物车
首页 域名注册 虚拟主机 成品网站 企业邮局 服务器租用 VPS主机 云主机 智能建站 代理专区 客户中心
用户登陆
           首页公告
           常见问题
           有问必答
           跟踪提问
           购买流程
           付款事宜
           汇款确认
           相关文档
           联系我们



Lets Encrypt颁发的免费HTTPS证书已遭黑客利用

 



Lets Encrypt颁发的免费HTTPS证书已遭黑客利用
    

自打数字证书认证机构(CA)Let’s Encrypt开启beta项目,为公众提供免费HTTPS证书以来,才仅有一个月时间,黑客们已经在打这项服务的主意,通过欺骗性的域来部署他们的恶意软件。

12月份时,安全公司Trend Micro发布消息说,有日本用户访问到一个恶意广告服务器,其上部署了Angler Exploit Kit——它会下载银行木马,自动感染Windows设备。这种木马可让黑客在用户不知情的情况下远程访问系统。

该公司表示,这种恶意广告服务器采用一种名为domain shadowing的技术,攻击者可诱导用户至已受控制的服务器,使用来自Let's Encrypt的安全证书保护的子域掩饰他们的行为。

按 照Trend Micro的观察,黑客们会搞个广告,看起来是链接至合法域的。Trend Micro表示,这可能是因为Let's  Encrypt在颁发证书之前仅靠谷歌安全浏览API核查域。这无法阻止黑客获取证书,以及在合法站点的保护下创建带恶意软件的子域。Trend  Micro的报告表明,Let's Encrypt的服务存在潜在安全问题,并呼吁该组织在发现证书被滥用之后就收回。


返回首页 |关于我们 | 联系我们 | 付款方式 | 广告联盟 | 有问必答
版权所有 随意点·严禁复制 备案号:蜀ICP备20000853号-3
在线客服: 点击发送消息给对方3130306036
服务热线:028-65166511 传真:
信息反馈:业务咨询 技术问题 问题投诉