Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.

Artikel veröffentlicht am ,
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Der Sicherheitsexperte Vincent Lynch schlägt Alarm: Über die Zertifizierungsstelle Let's Encrypt werden immer mehr Zertifikate für dubiose Webseiten ausgestellt. Allein mit dem Stichwort Paypal hätten seit Januar 2016 fast 15.000 eindeutig als Phishing-Seiten identifizierte Domains Zertifikate von Let's Encrypt erhalten. Lynch fordert mehr Engagement seitens der Zertifizierungsstelle, um dubiosen Seiten eine solche Legitimierung zu verweigern. Es ist nicht das erste Mal, dass Let's Encrypt mit solchen Vorwürfen konfrontiert wird.

Stellenmarkt
  1. Ingenieur (m/w/d) IT Projektmanagement
    Amprion GmbH, Pulheim
  2. IT-Engineer (m/w/d) Cloud-Applications
    ZIEHL-ABEGG SE, Künzelsau
Detailsuche

Lynch beobachtet dieses Phänomen seit mehreren Monaten. Er habe festgestellt, dass die Ausstellungen von Zertifikaten zuletzt exponentiell zugenommen hätte. Vor Januar 2016 seien es nur einige hundert Zertifikate gewesen. Seit Dezember 2016 seien monatlich aber bereits mehrere tausend Zertifikate ausgestellt worden. Andere Certificate Authorities würden wohlweislich Domainnamen, die den Namen "Paypal" enthalten, erst nach genauer Überprüfung ein Zertifikat ausstellen. Gleichzeitig weist Lynch aber darauf hin, das Let's Encrypt nicht nur eine Zwischenstelle ist, sondern auch mit den Regeln konform gehe.

Let's Encrypt will keine Internet-Polizei sein

Let's Encrypt hatte bereits vor dem Start seines Regelbetriebs betont, es sei nicht seine Aufgabe, eine Wertung der Domains vorzunehmen, für die Zertifikate ausgestellt werden. Es gehe in erster Linie darum, das Internet möglichst weitflächig zu verschlüsseln.

Laut einer Untersuchung des Sicherheitsunternehmens Cyren haben Phishing-Seiten aber ohnehin eine geringe Lebensdauer, meist sind sie nur wenige Tage online, bis sie als nicht vertrauenswürdige Webseite eingestuft werden. Gängige Browser warnen dann unmissverständlich beim Öffnen solcher Seiten. Aber auch in der Adresszeile fallen Domains auf, die Zwischenzertifikate zur Verschlüsselung verwenden: Sie werden zwar mit einem grünen Schloss zum Zeichen einer sicheren Verbindung dargestellt, allerdings fehlt ihnen die offizielle Zeichenkette des eigentlichen Unternehmens, etwa "PayPal, Inc" im Falle des Zahlungsanbieters.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Dennoch sollten Anwender wieder genauer hinsehen, wenn sie etwa über Links in E-Mails auf Webseiten umgeleitet werden, auf denen sie aufgefordert werden, ihre Zugangsdaten einzugeben. Eine verschlüsselte Webseite ist eben nicht per se vertrauenswürdig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Richtig Steller 01. Apr 2017

OCSP-Stapling kann keine Lösung sein: Zum einen unterstützt die breite Masse an Hostern...

GottZ 30. Mär 2017

stift würde auch gut passen.

Natanji 29. Mär 2017

Das kommt ja nur noch dazu. Wenn die lokale Maschine infiziert ist, kann sie anzeigen...

mgutt 29. Mär 2017

Dieser "Fakt" ist genauso als würde man sagen, dass die Telekom einem Hacker einen...

uschatko 29. Mär 2017

Das sag den Browserherstellern, dem Normalbenutzer wurde eingehämmert siehst Du ein...



Aktuell auf der Startseite von Golem.de
4700S Desktop Kit im Test
AMDs Playstation-5-Platine ist eine vertane Chance

Mit dem 4700S Desktop Kit bietet AMD höchstselbst die Hardware der Playstation 5 für den PC an. Das Board ist aber eine Sache für sich.
Ein Test von Marc Sauter

4700S Desktop Kit im Test: AMDs Playstation-5-Platine ist eine vertane Chance
Artikel
  1. Pat Gelsinger: Wir müssen bessere Chips bauen als Apple selbst
    Pat Gelsinger
    "Wir müssen bessere Chips bauen als Apple selbst"

    Intel-CEO Pat Gelsinger will die Eigenentwicklungen alias Apple Silicon schlagen. Klappt das nicht, hofft Intel auf Apple als Fab-Kunde.

  2. SUV mit Elektroantrieb: Tesla liefert neues Model X mit eckigem Lenkrad aus
    SUV mit Elektroantrieb
    Tesla liefert neues Model X mit eckigem Lenkrad aus

    Tesla hat die ersten Model X mit dem neuen Lenkrad, quer eingebautem Display und Falcon-Wings-Türen ausgeliefert.

  3. Foxconn: Eigene Elektroautos unter dem Namen Foxtron vorgestellt
    Foxconn
    Eigene Elektroautos unter dem Namen Foxtron vorgestellt

    Mit dem Model T, Model C und Model E hat Auftragsfertiger Foxconn drei eigene Elektroautos vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /