加密專家指Let's Encrypt發了近1.5萬張憑證予PayPal網釣網站

SSL商店加密專家Vincent Lynch上周公布了一個令人驚訝的數字，宣稱免費憑證發行機構Let's Encrypt迄今已發行15,270個內含PayPal字樣的憑證，當中約有96.7%被用在網釣網站，意味著有14,766個網釣網站擁有與PayPal相關的憑證。

電子前線基金會（EFF）、Mozilla、Cisco、Akamai、IdenTrust與密西根大學研究人員在2014年創立了非營利的網際網路安全研究組織Internet Security Research Group（ISRG），為了推動加密通訊而設立Let's Encrypt憑證組織 ，提供免費且自動化的憑證服務，並把原本需要耗時數小時的憑證申請流程縮短到30秒。

Let's Encrypt於2016年1月正式啟動，截至去年底已發行超過2000萬張憑證，且最近每天的憑證發行量已達到100萬張。

Let's Encrypt的用意在於推動網路的加密傳輸，然而，免費且快速的憑證發行流程同樣也降低了駭客取得憑證的門檻。Lynch說，這原本就是Let's Encrypt當初最受質疑的部份，但Let's Encrypt卻認為扼止惡意網站並非憑證機構的責任。

Lynch是利用crt.sh搜尋引擎查找使用內含PayPal字樣的憑證，指出PayPal網釣網站泛濫的程度比原先以為的更嚴重。Lynch表示，全球網路正從HTTP遷移到HTTPS，Let's Encrypt雖然功不可沒，但由Let's Encrypt所發行的憑證加密了所有網站的傳輸，包含惡意網站在內。

Lynch擔心的是，過去安全社群都教育使用者要以HTTPS來辨別網站的安全性，然而，當網釣網站也擁有合法憑證並藉由HTTPS傳輸之後，使用者可能也會相信這些網站是合法且正當的。

除了PayPal之外，Lynch亦發現Let's Encrypt還發行了大量內含美國銀行（Bank of America）、Apple ID與Google等字樣的憑證。根據Bleeping Computer的報導，Let's Encrypt仍然堅持原來的立場，指出該機構的目標是建立百分之百的全球加密網路，他們不是內容警察，也缺乏可辨識網站內容安全性的資訊及驗證程序，因此強烈建議使用者透過Google的Safe Browsing或微軟的Smartscreen來保障網路上的瀏覽安全。