Herkesin bildiği üzere Let's Encrypt SSL tüm web sitelerine ücretiz olarak SSL Sertifikası sağlamakta peki Phishing Saldırıları için neden bu kurum suçlanıyor?
Let's Encrypt SSL ücretiz olması nedeni ile tüm web siteleri buradan 3 aylık ssl sertifikası alabiliyor bu ise Phishing saldırılarının önünü kolayca açmış oluyor.
Peki bu satın alınan premium ssl sertifikalarında yok mu diyeceksiniz.
Kesinlikle hayır , Çünkü tüm ssl markaları ssl verdikleri domainleri kontrol eder ve ondan sonra teslim eder yani en basit örneği
facebookbegenibayi.com olarak bir domaininiz var siz buna en ucuz ssl sertifikalarından olan biri positive ssl sertifikasını almaya kalktığınızda Comodo " FACEBOOK " kelimesi geçtiği için siteyi inceleme alıyor ve site Phishing saldırısı için kullanılacaksa o sertifika teslim edilmemekte ve domain kara listeye giriyor.
Let's Encrypt SSL ise bunları tamamen atlayarak hiç sorgulamadan ssl sertifikasını veriyor bu ise insanları yönetiyor
https:// veya Güvenli ibaresi yüzünden yanılmakta ve bu sahte sitelere bilgilerini vermektedir.
Peki bu tür saldırılar nerelerde kullanılıyor ?
Paypal , Apple id , Gmail , Facebook , Twitter , Instagram , Türk Bankaları v.b sahte web sitelerinde kullanılmaktadır.
Güvenli ibaresini gören kullanıcılar yanılgıya düşmekte ve özel bilgilerini paylaşmaktadır. Tabi bizim Türk'lerde bu yöntemlere başvurmaktadır :)
Daha önce yine ücretsiz ssl servislerinden biri olan startssl firmasıda bu tür sorunlar yarattığı gerekçesi ile ceza almış ve kök sertifikaları iptal edilmişti.
2016 da Let's Encrypt kullanıp Phishing Saldırısı kullanan web sitelerinin sayısı
Comodo'nun sağladığı web sitesi üzerinden apple id Phishing saldırısı için kullanılan web sitelerinin listesini görmek için
https://crt.sh/?Identity=appleid%25&iCAID=16418
Yukarıdaki linki kullanabilirsiniz yine bu korkunç senaryonun paypal , Türk bankaları halinide crt.sh adresinden sorgulatabiliyorsunuz.
Facebook , Twitter vb. sosyal ağlarda da kullanılan bu yöntem Let's Encrypt sayesinde dağ gibi büyümeye devam ediyor.
Ücretisiz hizmet veren Let's Encrypt bunun için ne zaman harekete geçeceği merakla beklenmektedir.
Umarız bununda sonu startssl gibi kök sertifikalarının iptaline yol açmaz.