HTTPS 网站也未必安全，我们还是推荐使用收费的ssl证书，哪怕是最便宜的证书品牌。

使用网络服务应有良好的资讯保安意识，当要输入敏感资料时，应确保网站有使用HTTPS 加密连线，保障通讯安全。 HTTPS 认证组织Let's Encrypt，由Google、Microsoft 等科企共组，发行免费SSL 数码证书，本意是推动全球网站采用HTTPS 加密连线，但近日Trend Micro 就发现其机制遭黑客滥用，被用作发布恶意程式，盗取网上银行账号。

推动全球网站加密却遭滥用失本意

数月前Unwire.pro 也曾报导过 Let's Encrypt 的相关消息，该组织于去年9 月14 日发表声明庆祝发出首张数码证书，并开放免费数码证书申请测试计划。目前 Let's Encrypt 已全面开放免费数码证书申请，并获Google Chrome、Mozilla Firefox 和Microsoft Internet Explorer 等主流浏览器Cross Signature 支援。

Let's Encrypt 发行免费数码证书的原意，是推动全球网站采用HTTPS 加密连线，并简化其申请程序，然而全面开放虽然方便了有心为用户提供加密通讯的网站，但也令黑客有机可乘，滥用作散布恶意程序。

审核机制存漏洞黑客有机可乘部署恶意攻击

Trend Micro 安全研究人员在去年12 月21 日发现了一项藉由广告散布恶意程序的活动，该活动会欺骗用户下载能盗取银行账号的恶意程式，并利用Let's Encrypt 所发出的免费SSL 数码证书来迷惑用户，掩饰其恶意行为。

利用广告散布恶意程式的行为，黑客一般会选择在正规网站嵌入恶意广告，当用户点击后就会转至其他网站，欺骗用户下载恶意程式。过去黑客要成功部署这些恶意行为，往往需要在网络黑市购买被盗取的SSL 证书，倘若这些盗取证书被发现，合法拥有人可以将其作废，使恶意活动失效。不过现况已随着 Let's Encrypt 的出现而改变。

安全研究人员指，今次发现的恶意行为，主要受影响的是日本地区用户。黑客会先利用恶意广告将用户转至新设立的网站，而该网站会使用Let's Encrypt 发出的SSL证书迷惑用户，让用户认为仍处于HTTPS 加密连线保护的网站中，然后利用Angler Exploit Kit 感染受害者的电脑，安装Vawtrack Banking Trojan — 专门用作盗取网上银行账号的木马程式。

研究人员解释，恶意网站之所以能成功获得免费SSL证书的批核认证，是因为黑客利用了Let's Encrypt 的审核机制漏洞，研究员Joseph Chen 指目前Let's Encrypt 在审核时只会根据Google Safe Browsing API 检查申请网站的主域名是否包含恶意程式或钓鱼攻击等行为，然而并不会检查影子域名或子域名，黑客就是利用该机制漏洞轻而易举地取得认证批核，成功将恶意广告、恶意程式等活动置于子域名下部署攻击。

无废止证书政策黑客滥用情况恐趋严重

令问题更严重的是，Let's Encrypt 的政策曾表明不会作废数码证书，在其10 月29 日发表的声明中指，Let's Encrypt 的任务是建立更安全和保安严密的网络世界，虽然对抗钓鱼攻击和恶意程式同样重要，但要求数码证书认证机构(Certification Authorities, CAs) 站到最前线是不合理的。

Trend Micro 并不认同该说法，其认为作为 CAs 应该废止不法团体使用的证书，以降低免费SSL 证书被滥用的威胁。换言之，Let's Encrypt 要有合适的机制预防未经审核的证书用于子域名上，并以同等的标准一并审核主域名和子域名。

目前 Trend Micro 已与 Let's Encrypt 和受影响的网站接触，通知他们今次发现的恶意活动，但截稿前在 Let's Encrypt 的官方网站上仍未发现针对相关事件的回应。

然而可以预见，随着 Let's Encrypt 全面开放免费SSL数码证书的申请，令黑客无需再如以往般要在网络黑市购买才能取得SSL证书，明显地减低了恶意活动的部署成本。若 Let's Encrypt 的审核机制不作改善，问题或许将越趋严重。

HTTPS 网站也未必安全，我们还是推荐使用收费的ssl证书，哪怕是最便宜的证书品牌，毕竟我们网站最便宜的锐安信DV SSL证书才45元一年。