Abo
  • Services:
Anzeige
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.

Der Sicherheitsexperte Vincent Lynch schlägt Alarm: Über die Zertifizierungsstelle Let's Encrypt werden immer mehr Zertifikate für dubiose Webseiten ausgestellt. Allein mit dem Stichwort Paypal hätten seit Januar 2016 fast 15.000 eindeutig als Phishing-Seiten identifizierte Domains Zertifikate von Let's Encrypt erhalten. Lynch fordert mehr Engagement seitens der Zertifizierungsstelle, um dubiosen Seiten eine solche Legitimierung zu verweigern. Es ist nicht das erste Mal, dass Let's Encrypt mit solchen Vorwürfen konfrontiert wird.

Anzeige

Lynch beobachtet dieses Phänomen seit mehreren Monaten. Er habe festgestellt, dass die Ausstellungen von Zertifikaten zuletzt exponentiell zugenommen hätte. Vor Januar 2016 seien es nur einige hundert Zertifikate gewesen. Seit Dezember 2016 seien monatlich aber bereits mehrere tausend Zertifikate ausgestellt worden. Andere Certificate Authorities würden wohlweislich Domainnamen, die den Namen "Paypal" enthalten, erst nach genauer Überprüfung ein Zertifikat ausstellen. Gleichzeitig weist Lynch aber darauf hin, das Let's Encrypt nicht nur eine Zwischenstelle ist, sondern auch mit den Regeln konform gehe.

Let's Encrypt will keine Internet-Polizei sein

Let's Encrypt hatte bereits vor dem Start seines Regelbetriebs betont, es sei nicht seine Aufgabe, eine Wertung der Domains vorzunehmen, für die Zertifikate ausgestellt werden. Es gehe in erster Linie darum, das Internet möglichst weitflächig zu verschlüsseln.

Laut einer Untersuchung des Sicherheitsunternehmens Cyren haben Phishing-Seiten aber ohnehin eine geringe Lebensdauer, meist sind sie nur wenige Tage online, bis sie als nicht vertrauenswürdige Webseite eingestuft werden. Gängige Browser warnen dann unmissverständlich beim Öffnen solcher Seiten. Aber auch in der Adresszeile fallen Domains auf, die Zwischenzertifikate zur Verschlüsselung verwenden: Sie werden zwar mit einem grünen Schloss zum Zeichen einer sicheren Verbindung dargestellt, allerdings fehlt ihnen die offizielle Zeichenkette des eigentlichen Unternehmens, etwa "PayPal, Inc" im Falle des Zahlungsanbieters.

Dennoch sollten Anwender wieder genauer hinsehen, wenn sie etwa über Links in E-Mails auf Webseiten umgeleitet werden, auf denen sie aufgefordert werden, ihre Zugangsdaten einzugeben. Eine verschlüsselte Webseite ist eben nicht per se vertrauenswürdig.


eye home zur Startseite
Richtig Steller 01. Apr 2017

OCSP-Stapling kann keine Lösung sein: Zum einen unterstützt die breite Masse an Hostern...

GottZ 30. Mär 2017

stift würde auch gut passen.

Natanji 29. Mär 2017

Das kommt ja nur noch dazu. Wenn die lokale Maschine infiziert ist, kann sie anzeigen...

mgutt 29. Mär 2017

Dieser "Fakt" ist genauso als würde man sagen, dass die Telekom einem Hacker einen...

uschatko 29. Mär 2017

Das sag den Browserherstellern, dem Normalbenutzer wurde eingehämmert siehst Du ein...



Anzeige

Stellenmarkt
  1. Comarch AG, Dresden
  2. ETAS GmbH & Co. KG, Stuttgart
  3. Der Polizeipräsident in Berlin, Berlin
  4. Landratsamt Schweinfurt, Schweinfurt


Anzeige
Top-Angebote
  1. (-66%) 6,80€
  2. (u. a. Hacksaw Ridge, Lion, Snowden, Lone Survivor, London Has Fallen, Homefront)
  3. (u. a. Game of Thrones, Supernatural, The Big Bang Theory)

Folgen Sie uns
       


  1. Windows 10 Version 1709 im Kurztest

    Ein bisschen Kontaktpflege

  2. Powerline Advanced

    Devolo bringt DLAN-Adapter mit zwei Ports und Steckdose

  3. CSE

    Kanadas Geheimdienst verschlüsselt Malware mit RC4

  4. DUHK-Angriff

    Vermurkster Zufallszahlengenerator mit Zertifizierung

  5. Coda

    Office-365-Alternative kommt ohne "Schiffe versenken" aus

  6. Bethesda

    Wolfenstein 2 benötigt leistungsstarke PC-Hardware

  7. Radeon Software 17.10.2

    AMD-Treiber beschleunigt Destiny 2 um 50 Prozent

  8. Cray und Microsoft

    Supercomputer in der Azure-Cloud mieten

  9. Wiper Premium J XK

    Mähroboter mit Persönlichkeitsstörung

  10. Fall Creators Update

    Microsoft will neues Windows 10 schneller verteilen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Andy Rubin Drastischer Preisnachlass beim Essential Phone
  2. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  3. Smartphone Essential Phone kommt mit zwei Monaten Verspätung

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel 2 XL Google untersucht Einbrennen des Displays
  2. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  3. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Krack-Angriff AVM liefert erste Updates für Repeater und Powerline
  2. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  3. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht

  1. Re: Sollten lieber den Desktop komplett an MacOS...

    der_wahre_hannes | 12:50

  2. Re: Oder gleich sicher designen

    AllDayPiano | 12:49

  3. Re: Die id Tech-Engine ist super performant

    theonlyone | 12:48

  4. Re: bei mir genau umgekehrt ...

    DeathMD | 12:47

  5. Re: Leistungsstarke Hardware?

    gadthrawn | 12:45


  1. 12:01

  2. 11:36

  3. 11:13

  4. 10:48

  5. 10:45

  6. 10:30

  7. 09:35

  8. 09:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel