¿Son los casos que pregunta ‘PayPal’ SSL certificados de parte del problema de Phishing?


, una carta abierta publicada por el administrador de tienda de soporte SSL Vincent Lynch esta semana pidió a libre de la entidad emisora de certificados (CA) nos encriptará los certificados SSL de bloque que contiene el nombre de “PayPal” debido a su uso en sitios Web maliciosos.

Lynch dice aboga no por contenido más amplio enfoque de la policía nos encriptará o cualquier otros CA, pero sólo un bloque limitado específicamente a “PayPal” “es una medida sencilla, factible y eficaz contra el más peligroso y malintencionado de vamos a cifrar certificados.”

según Lynch, ciframos 988 certificados emitidos con el nombre de “PayPal” y todo, pero cuatro parecen ser los sitios maliciosos.

en una solicitud de comentario, un portavoz nos encriptará destacó Equipamentos el un 2015 blog escrito por Josh Aas, ISRG, Director Ejecutivo, sobre el papel de la CA en la lucha contra el phishing y malware.

Vea también: DreamHost ofrece soporte incorporado es vamos a cifrar proyecto

nos encriptará, Lynch dijo: “Creo que no funciona una entidad es determinar si la solicitud un certificado del sitio es seguro y legítimo, y que, incluso cuando se trata de, los casos no son muy eficaces en el bloqueo de los sitios de ‘malo’.”

“por consiguiente, ciframos renunciar controles casos previo a la concesión han utilizado tradicionalmente para bloquear las consultas ‘en riesgo’ que podría utilizarse con fines malintencionados, como el phishing.” “En cambio, nos encriptará pliegues a servicios como el SmartScreen Google y Microsoft navegación segura que identifica y bloquea sitios peligrosos a otra capa,” él dijo. «Certificación más comercial las autoridades no están de acuerdo con la posición que vamos a la cripta y es un tema que se debate a menudo.» Para obtener más información sobre este tema, sugiero que leer este gran post de Eric Lawrence, que ha inspirado este post. “

identifican certificados Lawrence 709 que contienen”PayPal”en el nombre de host, máximo de 409 en el 08 de diciembre de 2016. El post también identifica un número de otras compañías dirigidas por el aparente phishing con vamos a sitios cifrar los certificados, incluyendo “BankofAmerica”, de los cuales 14 fueron publicados para. Lawrence indicó que los certificados de dominio válida (DV) proporcionan una inspección manual para identificar al propietario del sitio, y que no se ha adoptado ampliamente certificados de validación extendida.

Lynch reconoce el probable uso de variaciones y errores de ortografía por páginas de phishing que intentan engañar a las víctimas, pero dice que “dado el estado actual de la educación del usuario”, certificados con “PayPal” deben ser bloqueados cifrará.

“Hay un futuro,” dijo Lynch, “donde los usuarios tienen una comprensión más matizada, y menos exacta que representa el icono de candado. Donde 2FA es ampliamente utilizado. Cuando la adopción de HTTPS es tan generalizado que los navegadores pueden derribar el paradigma de la interfaz de usuario de seguridad.

la discusión en los comentarios debajo de la estación Lynch, destacar varias de las posiciones opuestas en el debate dentro de la industria acerca de los roles de las autoridades de certificación, host, vendedores de navegador y otros.

en el año 2015, los investigadores de Trend Micro descubrieron un FarmTown campaña «en que un agente malicioso creado un subdominio de un sitio web legítimo con nos encriptará certificado.»

nos encriptará expedido certificados activos unos 30 millones.