En del af formålet med sikkerhedscertifikater, som kan bruges til sikre websider, der leveres med den krypterede HTTPS-protokol, er at kunne fortælle browserne og brugerne, at sitet, man besøger, på en eller anden måde er blevet valideret. I for eksempel Chrome vises teksten ‘Sikker’ og en lukket hængelås, når en HTTPS-forbindelse inkluderer et certifikat for dette website.
Mange phishingsider udnytter imidlertid ofrenes manglende opmærksomhed ved at benytte domænenavne, som mange internetbrugere uden den store erfaring vil opfatte som legitime steder.
Denne metode kan i nogen udstrækning benyttes sammen med HTTPS, fordi de fleste certifikatudstedere vil nægte at udstede certifikater til domæner, som indeholder kendte navne og varemærker, medmindre det faktisk er ejeren af disse, som er ansøger.
Årsagen til dette er, at man ved, at mange vil bruge disse certifikater i kriminelt øjemed, såsom phishing.
Over 15.000 falske PayPal-certifikater
Alligevel er der blevet udstedt tusindvis af certifikater til sådanne phishingsider bare det seneste år. Det viser en undersøgelse udført af Vincent Lynch i The SSL Store, en amerikansk forhandler af certifikater fra en række forskellige certifikatudstedere. Rapporten er bl.a. blevet omtalt af Bleeping Computer.
Certifikaterne, som er omtalt i undersøgelsen, er alle udstedt af gratistjenesten Let's Encrypt, en konkurrent til The SSL Store.
Let's Encrypt skal have udstedt mere end 15.000 certifikater til websites med adresser, som indeholder ordet ‘PayPal’, f.eks. paypal.com.secure-alert.net.
Af 1.000 tilfældigt udvalgte af disse domæner var 96,7 procent brugt af phishing-sites.
Mængden af Let's Encrypt-udstedte certifikater til domæner, som indeholder ordet ‘PayPal’, er kraftigt forøget de seneste måneder. Mens det kun blev til ti sådanne certifikater i marts i fjor, blev der udstedt 5.101 sådanne certifikater i februar i år.
Det er selvfølgelig ikke kun PayPal, som udnyttes i sådanne sammenhænge. Her er en oversigt over certifikater udstedt af Let's Encrypt til domæner eller subdomæner, som indeholder ordet ‘appleid’.
Næsten ingen filtrering
Det kan selvfølgelig ske, at certifikater fejludstedes på grund af mangelfulde rutiner. Men hos Let's Encrypt er det ikke sket ved en fejl.
Tværtimod mener aktørerne bag tjenesten, med Internet Security Research Group (ISRG) i spidsen, at det ikke er certifikatudstederne, som bør sørge for beskyttelse mod phishing. Så de certifikater, som Let's Encrypt udsteder, bliver kun tjekket med Google Safe Browsing API, som kun berører eksisterende phishingsites.
»Vi er ikke i nogen god position til at være indholdspoliti. Vi har ikke den information, vi behøver, og vores valideringsprocesser vurderer ikke noget angående, hvor tryg man kan være ved indholdet på disse sites,« siger Josh Ash, administrerende direktør i ISRG, til Bleeping Computer. Han mener desuden, at tiltag vil være meget lidt effektive.
Ilia Kolochenko, CEO i websikkerhedsselskabet High-Tech Bridge, er uenig.
'Jeg mener, vi bør skelne mellem HTTPS-trafikkryptering og identitetsverificering af websites. Let's Encrypt har til formål globalt at konvertere klartekst-HTTP-trafik til krypteret HTTPS-trafik, og det gør de rigtig godt. Alligevel burde de have forudset et massivt misbrug fra phishing-aktørernes side og implementeret i det mindste en grundlæggende sikkerhedsverificering, såsom at afvise SSL-certifikater for domæner, som indeholder navnet på populære varemærker,' skriver Ilia Kolochenko i en udtalelse til digi.no.
Browser-problemet
I Vincent Lynchs blogindlæg om undersøgelsen kommer han også med kritik af blandt andet browser-leverandørerne.
'I mange år har hele sikkerhedsbranchen fejlagtigt lært brugerne at forbinde HTTPS og den grønne hængelås med en ‘tryg’ webside. Dette er en dårlig generalisering, som kan have forledt brugere til at tro, at en phishing-webside er ægte, så længe den bruger SSL,' skriver Vincent Lynch og fortsætter:
'Dertil kommer, at Chromes nye brugergrænseflade viser ordet ‘sikker’ i forbindelse med hver eneste webside med et gyldigt SSL-certifikat og en HTTPS-konfiguration. Hvor stor er risikoen for, at en bruger fejlfortolker betydningen af dette og opfatter en phishing-webside som legitim?'
Andre, som sikkerhedsforskeren Eric Lawrence, mener, at man af flere årsager kan skyde noget af skylden på browser-leverandørerne, men at også andre, inklusive websiderne og brugerne, har deres del af ansvaret for, at phishing stadig kan finde sted.
Han påpeger, at stadigt flere sikkerhedsløsninger gør brug af en række forskellige faktorer for at vurdere pålideligheden af en webside,, hvoraf HTTPS-certifikatet blot udgør en af disse faktorer. Websidens alder, brugerens tidligere besøg på siden samt stedet, hvor websiden hostes, er andre faktorer, som samlet kan benyttes til at vurdere pålideligheden af en webside.
Blind tillid
Også Ilia Kolochenko fra High-Tech Bridge er enig i, at browsere, som blindt stoler på enhver HTTPS-webside, har et betydeligt ansvar for phishing-problemet, men advarer samtidig om, at krypteret trafik gør det mere effektivt at omgå sikkerhedsmekanismer, når man ønsker at sprede malware:
'Eftersom vi kan se, hvor mange af SLL-certifikaterne til Let's Encrypt der bruges af som malware til at hente stjålne data, er jeg temmelig sikker på, at resultaterne kommer til at være ganske skræmmende.'