Abo
  • IT-Karriere:

Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.

Artikel veröffentlicht am ,
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs.
Auch Let's Encrypt plagen die strukturellen Probleme anderer CAs. (Bild: Let's Encrypt)

Der Sicherheitsexperte Vincent Lynch schlägt Alarm: Über die Zertifizierungsstelle Let's Encrypt werden immer mehr Zertifikate für dubiose Webseiten ausgestellt. Allein mit dem Stichwort Paypal hätten seit Januar 2016 fast 15.000 eindeutig als Phishing-Seiten identifizierte Domains Zertifikate von Let's Encrypt erhalten. Lynch fordert mehr Engagement seitens der Zertifizierungsstelle, um dubiosen Seiten eine solche Legitimierung zu verweigern. Es ist nicht das erste Mal, dass Let's Encrypt mit solchen Vorwürfen konfrontiert wird.

Stellenmarkt
  1. Freie und Hansestadt Hamburg Finanzbehörde Hamburg, Hamburg
  2. Applied Materials WEB COATING GmbH, Alzenau

Lynch beobachtet dieses Phänomen seit mehreren Monaten. Er habe festgestellt, dass die Ausstellungen von Zertifikaten zuletzt exponentiell zugenommen hätte. Vor Januar 2016 seien es nur einige hundert Zertifikate gewesen. Seit Dezember 2016 seien monatlich aber bereits mehrere tausend Zertifikate ausgestellt worden. Andere Certificate Authorities würden wohlweislich Domainnamen, die den Namen "Paypal" enthalten, erst nach genauer Überprüfung ein Zertifikat ausstellen. Gleichzeitig weist Lynch aber darauf hin, das Let's Encrypt nicht nur eine Zwischenstelle ist, sondern auch mit den Regeln konform gehe.

Let's Encrypt will keine Internet-Polizei sein

Let's Encrypt hatte bereits vor dem Start seines Regelbetriebs betont, es sei nicht seine Aufgabe, eine Wertung der Domains vorzunehmen, für die Zertifikate ausgestellt werden. Es gehe in erster Linie darum, das Internet möglichst weitflächig zu verschlüsseln.

Laut einer Untersuchung des Sicherheitsunternehmens Cyren haben Phishing-Seiten aber ohnehin eine geringe Lebensdauer, meist sind sie nur wenige Tage online, bis sie als nicht vertrauenswürdige Webseite eingestuft werden. Gängige Browser warnen dann unmissverständlich beim Öffnen solcher Seiten. Aber auch in der Adresszeile fallen Domains auf, die Zwischenzertifikate zur Verschlüsselung verwenden: Sie werden zwar mit einem grünen Schloss zum Zeichen einer sicheren Verbindung dargestellt, allerdings fehlt ihnen die offizielle Zeichenkette des eigentlichen Unternehmens, etwa "PayPal, Inc" im Falle des Zahlungsanbieters.

Dennoch sollten Anwender wieder genauer hinsehen, wenn sie etwa über Links in E-Mails auf Webseiten umgeleitet werden, auf denen sie aufgefordert werden, ihre Zugangsdaten einzugeben. Eine verschlüsselte Webseite ist eben nicht per se vertrauenswürdig.



Anzeige
Hardware-Angebote
  1. 399€ (Wert der Spiele rund 212€)
  2. täglich neue Deals bei Alternate.de

Richtig Steller 01. Apr 2017

OCSP-Stapling kann keine Lösung sein: Zum einen unterstützt die breite Masse an Hostern...

GottZ 30. Mär 2017

stift würde auch gut passen.

Natanji 29. Mär 2017

Das kommt ja nur noch dazu. Wenn die lokale Maschine infiziert ist, kann sie anzeigen...

mgutt 29. Mär 2017

Dieser "Fakt" ist genauso als würde man sagen, dass die Telekom einem Hacker einen...

uschatko 29. Mär 2017

Das sag den Browserherstellern, dem Normalbenutzer wurde eingehämmert siehst Du ein...


Folgen Sie uns
       


Parrot Anafi Thermal angesehen

Die Anafi Thermal kann dank Wärmebildsensor Temperaturdaten von -10 bis 400° Celsius messen.

Parrot Anafi Thermal angesehen Video aufrufen
Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
  3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

    •  /