ニュースソース:Scott Helme blog
以下は、2018年01月19日に公開されたWe need more phishing sites on HTTPS!を要約したものです。
奇妙に聞こえるかもしれませんが、私たちは、HTTPS上でより多くのフィッシングサイトを必要としています。
業界では最近、無料のSSL証明書を発行するLet’s Encryptがフィッシングに使用されているドメインに証明書を発行したことについて多くの騒ぎがありました。
昨年まで、COMODOが最も多くのフィッシング詐欺に使われる証明書を発行していましたが、現在はLet’s Encryptが最も多く発行しています。
しかし、注目すべきはLet’s Encryptの証明書はCTログに登録されていることです。
2018年4月からは、CTログに登録されていない証明書は自己署名証明書と同じ扱いとなりブラウザから警告が出されます。
誰かがあなたのドメイン名に似たドメインをフィッシング目的で登録しても、それを知ることは困難です。DNS登録、HTTPサイトの開設についても同様です。
しかし、証明書を取得するとCTログに登録されるので、24時間程度でそれを知ることができます。
例えば、CTログを参照し検索を支援するサイトCensysを利用すれば、簡単に “paypal” という文字列が含まれた証明書をリストアップできます。
現在はすべての証明書がログされているわけではありませんが、4月からはCTログはフィッシング詐欺師が既に存在する現状を捉え、取得している証明書を公開するよう強制します。
こうした方法でフィッシングサイト目的の証明書を素早く探しだし、証明書取り消しを要求できるようになります。