V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FunnyToy
V2EX  ›  SSL

Let's Encrypt 共发出了 15270 张含有“PayPal”的 SSL 证书

  •  
  •   FunnyToy · 2017-03-22 17:16:31 +08:00 · 4331 次点击
    这是一个创建于 2838 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://www.thesslstore.com/blog/lets-encrypt-phishing/
    在 2016 年 1 月 1 日至 2017 年 3 月 6 日期间, Let's Encrypt 共发出了 15270 张含有“ PayPal ”的 SSL 证书。基于随机抽样,这些证书中有 96.7 %用于钓鱼网站。 (*Φ皿Φ) 吓
    20 条回复    2017-03-25 17:12:21 +08:00
    geeklian
        1
    geeklian  
       2017-03-22 17:56:52 +08:00 via Android
    所以一直没搞明白高端证书有啥用
    EPr2hh6LADQWqRVH
        2
    EPr2hh6LADQWqRVH  
       2017-03-22 18:03:28 +08:00
    没毛病啊,又没在天朝,还得关键词过滤啊?
    ivmm
        3
    ivmm  
       2017-03-22 18:04:30 +08:00   ❤️ 1
    就算是收费证书,也可以签含有 “ paypal ” 子域名的证书来加密吧。

    SSL 是通过加密实现信息传输的 “安全”,而不是因为 “安全” 所以 “安全”
    dzxx36gyy
        4
    dzxx36gyy  
       2017-03-22 18:08:48 +08:00 via Android
    @ivmm 不一定的,这种域名你去签 comodo 之类会进特别流程,要求你证明商标所有权啥的,而不是像 Let's Encrypt 一样轻轻松松就发下来了
    ivmm
        5
    ivmm  
       2017-03-22 18:12:27 +08:00
    @dzxx36gyy 这样么,我倒是没有有特殊子域名的证书
    6IbA2bj5ip3tK49j
        6
    6IbA2bj5ip3tK49j  
       2017-03-22 18:26:55 +08:00
    @dzxx36gyy 不是抬杠啊, wildcard 证书可破。
    shower
        7
    shower  
       2017-03-22 18:29:24 +08:00
    @dzxx36gyy 如果是泛域名证书的话的就可以了,比如我签了 *.123test.com 的证书,那么 paypal.123test.com 的子域也可以用这个证书而不用审核。如果域名再有点迷惑性的话,比如*.con.uk ,那么 www.paypal.con.uk 就很逼真了。
    aofall
        8
    aofall  
       2017-03-22 18:42:06 +08:00 via Android
    @shower 三级域名不能用二级的 wildcard
    stabc
        9
    stabc  
       2017-03-22 18:48:33 +08:00
    你忘了加“震惊”二字。 Letsencrypt 发的是域名 SSL ,不是组织公司 SSL ,何来“含有 paypal 的 SSL 证书”?
    dzxx36gyy
        10
    dzxx36gyy  
       2017-03-22 18:51:21 +08:00
    @xgfan 一般说的是主域名中含有商标以及各种违禁词的会进入审查流程,子域名这种比较蛋疼,我也没试过
    shower
        11
    shower  
       2017-03-22 19:00:18 +08:00
    lissome
        12
    lissome  
       2017-03-22 19:03:52 +08:00
    @stabc 估计就是域名含 paypal
    cevincheung
        13
    cevincheung  
       2017-03-22 19:09:30 +08:00
    @shower #11 www 做 301 也行
    wdlth
        14
    wdlth  
       2017-03-22 20:04:07 +08:00
    非 Symantec Class 3 EV SSL 的站请勿随意支付。
    jasontse
        15
    jasontse  
       2017-03-22 20:18:31 +08:00 via iPad
    主机信任 != 品牌信任

    要达成品牌信任请认准绿色地址栏 EV 证书
    ZeroClover
        16
    ZeroClover  
       2017-03-22 21:45:28 +08:00
    虽然 V2 很多人都吐槽 StartCom ,但是至少他们在某些安全认证方面做的还是不错的。

    之前注册了个域名中包含 “ Google ”( googleapis )的域名用来做字体之类资源的反代,结果 StartCom 给拒了,问客服说是包含这种关键词的域名都不给签发证书,而 COMODO 和 AlphaSSL 就轻松签发了=。=

    所以像 PP 这种网站还是得认 EV 证书(然而国产浏览器不显示 EV=。=)
    nfroot
        17
    nfroot  
       2017-03-22 21:47:09 +08:00
    @dzxx36gyy 会不会有一天 1 位-2 位-3 位-4 位-5 位的商标已经包含了所有字母……(和域名一样,商标把可注册的都注册完了)

    自己弄个域名都不能随便用
    JJaicmkmy
        18
    JJaicmkmy  
       2017-03-22 22:25:17 +08:00
    我之前在 StartSSL 签 gsearch.pw 这个域名(用来反代)的证书,也被额外审核了。
    msg7086
        19
    msg7086  
       2017-03-24 15:08:37 +08:00
    @nfroot 这不是商标触发的,而是高风险域名关键字触发的。
    比如同样是商标,你签 adidas 没问题,但是签 paypal 就要进流程。
    同理,就算不是商标,你签个 cdn 开头的子域,一样要进流程。
    COMODO 那边我签个 cdn35.xxx.yyy 直接就拒发验证信了。
    kaneg
        20
    kaneg  
       2017-03-25 17:12:21 +08:00
    LE 仅仅提供验证域名的证书,其本意就只是在技术上确保被访问的域名和实际要访问的是一致的,且没有被篡改过,而且防窃听(当然假定不要被中间人攻击)。

    要在业务上更进一步提供验证,就得靠更严格的审核流程。

    正如蜘蛛侠里面说的,能力越大,责任越大。要提供更有价值的保障,就得更负责任。一些证书商号称提供更严格的验证,而实际做的确跟 LE 做的相差无几,这才是他们被人诟病的地方。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   919 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:41 · PVG 04:41 · LAX 12:41 · JFK 15:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.