当前，为了应对日益恶化的互联网环境，各大网站纷纷向HTTPS(超文本加密传输协议)上过渡，不过鉴于对网站服务器主机进行HTTPS认证需要支付一定的认证费用，导致很多网站由于没有预算向HTTPS认证机构提出申请而无法升级HTTPS。

 

　　警惕免费HTTPS认证服务被滥用

对此，非营利网络认证发放机构Let's Encrypt在此前就推出了开源免费的HTTPS认证服务。不过，近期有专家发现，Let's Encrypt发放的认证证书有被滥用的趋势。据统计，迄今已发行15270个内含PayPal字样的证书，当中约有96.7%被用于钓鱼网站，这表示约有14766个钓鱼网站已经拥有与PayPal相关的证书。

据悉，Let's Encrypt是由电子前哨基金会(Electronic Frontier Foundation)联合Mozilla、Google、微软、苹果等巨头共同设立的HTTPS认证组织，由公益公司Internet Security Research Group(ISRG)负责营运。通过其提供免费且自动化的证书服务，还可把原本需要耗时数小时的证书申请流程缩短至30秒。

Let's Encrypt于2016年1月正式启动，截至去年底已发行超过2000万张证书，近期，每天的凭证发行量已达到100万张。然而，免费且快速的证书发行流程同样也降低了不法黑客取得证书的门槛。

研究人员发现，利用crt.sh搜寻引擎查找使用内含PayPal字样的证书后发现，PayPal钓鱼网站的泛滥程度远比设想的更加严重。由Let's Encrypt发行的证书虽然加密了网站的传输内容，但不幸的是，这也包括了恶意网站在内。

除了PayPal之外，研究人员发现Let's Encrypt还发行了大量包含美国银行(Bank of America)、Apple ID与Google等字样的证书，为互联网用户带来威胁。由于Let's Encrypt并不具备内容审查权限，同时也缺乏可辨识网站内容安全性的资讯及验证程序，因此只能建议互联网用户通过Google的Safe Browsing或微软的Smartscreen来保障网络上的浏览安全了。

(责任编辑：安博涛)