Let`s Encrypt zertifiziert Malware-Domains
Eigentlich sollte die Zertifizierung von Webseiten den Nutzern eine gewisse Sicherheit geben und vor Phishing, Fake oder sogar Malware schützen. Doch genau das Gegenteil ist eingetreten. Cyberkriminelle haben Malware-Domains über den kostenlosen Let`s Encrypt Service zertifizieren lassen.
Möglich wurde dies durch das Hacken einer zertifizierten, legitimierten Webseite und der nachfolgenden Erschaffung einer passenden Subdomain. Diese Malware-Site wurde dann durch Let`s Encrypt zertifiziert. Sie leitet die Nutzer über Werbung auf spezielle Domains mit dem Exploit Kit „Angler“. Diese Schadsoftware installiert Spähprogramme, die auf der Hardware der Nutzer Bankdaten auslesen.
Diese neue Art von Domainkriminalität beobachtet TrendMicro schon seit einiger Zeit. Durch die Verschlüsselung ist es für die Nutzer schwierig, die kriminellen Absichten zu erkennen. Kritiker und Sicherheitsforscher haben Let`s Encrypt bereits aufgefordert, die Vergabe von kostenlosen Zertifikaten an „unsichere“ Webseiten zu stoppen.
Let`s Encrypt lehnt konkrete Maßnahmen ab
Wie das Magazin „Computerworld“ berichtet, hat Let`s Encrypt alle Aufforderungen von Dritten zum Stopp der kostenfreien Vergabe an sogenannte „kriminelle Elemente“ abgelehnt. Zur Begründung gab die Organisation an, man werde keine Domain-Inhalte überwachen. Dies sei den Zertifizierungsstellen nicht erlaubt. Überprüft wird aber per Googles „Safe Browsing API“, ob eine Domain im Zertifizierungsprozess als bedrohlich eingestuft ist. Zudem sei die Sperre von Domain-Zertifikaten meist wirkungslos, da die Cyberkriminellen jederzeit und sehr häufig neue Zertifikate von anderen Zertifizierungsstellen anfordern und damit immer schneller sind, als offizielle Stellen.