• IT-Karriere:
  • Services:

Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.

Artikel veröffentlicht am ,
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Der Sicherheitsexperte Vincent Lynch schlägt Alarm: Über die Zertifizierungsstelle Let's Encrypt werden immer mehr Zertifikate für dubiose Webseiten ausgestellt. Allein mit dem Stichwort Paypal hätten seit Januar 2016 fast 15.000 eindeutig als Phishing-Seiten identifizierte Domains Zertifikate von Let's Encrypt erhalten. Lynch fordert mehr Engagement seitens der Zertifizierungsstelle, um dubiosen Seiten eine solche Legitimierung zu verweigern. Es ist nicht das erste Mal, dass Let's Encrypt mit solchen Vorwürfen konfrontiert wird.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. Valeo Siemens eAutomotive Germany GmbH, Erlangen

Lynch beobachtet dieses Phänomen seit mehreren Monaten. Er habe festgestellt, dass die Ausstellungen von Zertifikaten zuletzt exponentiell zugenommen hätte. Vor Januar 2016 seien es nur einige hundert Zertifikate gewesen. Seit Dezember 2016 seien monatlich aber bereits mehrere tausend Zertifikate ausgestellt worden. Andere Certificate Authorities würden wohlweislich Domainnamen, die den Namen "Paypal" enthalten, erst nach genauer Überprüfung ein Zertifikat ausstellen. Gleichzeitig weist Lynch aber darauf hin, das Let's Encrypt nicht nur eine Zwischenstelle ist, sondern auch mit den Regeln konform gehe.

Let's Encrypt will keine Internet-Polizei sein

Let's Encrypt hatte bereits vor dem Start seines Regelbetriebs betont, es sei nicht seine Aufgabe, eine Wertung der Domains vorzunehmen, für die Zertifikate ausgestellt werden. Es gehe in erster Linie darum, das Internet möglichst weitflächig zu verschlüsseln.

Laut einer Untersuchung des Sicherheitsunternehmens Cyren haben Phishing-Seiten aber ohnehin eine geringe Lebensdauer, meist sind sie nur wenige Tage online, bis sie als nicht vertrauenswürdige Webseite eingestuft werden. Gängige Browser warnen dann unmissverständlich beim Öffnen solcher Seiten. Aber auch in der Adresszeile fallen Domains auf, die Zwischenzertifikate zur Verschlüsselung verwenden: Sie werden zwar mit einem grünen Schloss zum Zeichen einer sicheren Verbindung dargestellt, allerdings fehlt ihnen die offizielle Zeichenkette des eigentlichen Unternehmens, etwa "PayPal, Inc" im Falle des Zahlungsanbieters.

Dennoch sollten Anwender wieder genauer hinsehen, wenn sie etwa über Links in E-Mails auf Webseiten umgeleitet werden, auf denen sie aufgefordert werden, ihre Zugangsdaten einzugeben. Eine verschlüsselte Webseite ist eben nicht per se vertrauenswürdig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)
  2. (u. a. Ryzen 5 5600X 358,03€)
  3. (u. a. ASUS Radeon RX 6900 XT TUF GAMING OC 16GB für 1.729€)

Richtig Steller 01. Apr 2017

OCSP-Stapling kann keine Lösung sein: Zum einen unterstützt die breite Masse an Hostern...

GottZ 30. Mär 2017

stift würde auch gut passen.

Natanji 29. Mär 2017

Das kommt ja nur noch dazu. Wenn die lokale Maschine infiziert ist, kann sie anzeigen...

mgutt 29. Mär 2017

Dieser "Fakt" ist genauso als würde man sagen, dass die Telekom einem Hacker einen...

uschatko 29. Mär 2017

Das sag den Browserherstellern, dem Normalbenutzer wurde eingehämmert siehst Du ein...


Folgen Sie uns
       


Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
    •  /