zurück zum Artikel

SSL-Zertifizierungsstellen stellen hunderte Zertifikate für Phishing-Seiten aus

Dennis Schirrmacher
Monatsbilanz: SSL-Zertifizierungsstellen stellen hunderte Zertifikate für Phishing-Seiten aus

Online-Betrüger missbrauchen SSL-Zertifizierungsstellen, um sich Zertifikate für Phishing-Seiten ausstellen zu lassen, warnen Sicherheitsforscher. Schuld daran seien laxe Richtlinien der Zertifizierer.

In einem Beobachtungszeitraum von einem Monat haben sich Online-Betrüger hunderte Zertifikate für Phishing-Seiten von SSL-Zertifikatsstellen wie etwa Comodo und Symantec ausstellen lassen. Phishing-Seiten wie zum Beispiel banskfamerica.com oder itunes-security.net sollen mit den Zertifikaten vertrauenswürdiger wirken. Davor warnen die Sicherheitsforscher von Netcraft [1].

Schuld daran seien laxe Richtlinien der SSL-Zertifikatsstellen. In vielen Fällen müssen Betrüger nur nachweisen, dass sie die Kontrolle über eine Domain haben. Postwendend erhalten sie innerhalb weniger Minuten ein Zertifikat, erläutern die Sicherheitsforscher.

Netcraft

Monatsbilanz: 41 Prozent der SSL-Zertifikate für Phishing-Seiten stammen von Cloudflare.

(Bild: Netcraft [2])

Auch die kostenlosen 90-Tage-Test-Zertifikate von Comodo seien bei Betrügern beliebt. Strenger bei der Ausstellung von SSL-Zertifikaten sind Netcraft zufolge Digicert und Entrust, da diese umfangreichere Richtlinien an den Tag legen.

Cloudflare beliebt bei Online-Betrügern

Mit 41 Prozent stellte Cloudflare die meisten SSL-Zertifikate für Phishing-Seiten im August 2015 aus, berichten die Sicherheitsforscher. Dabei setzt der Internet-Dienstleister auf eine Partnerschaft mit Comdo und Globalsign.

Cloudflare erlaubt für alle von sich gehosteten Server gratis den verschlüsselten Zugriff per SSL/TLS [3]. Bereits Anfang dieses Jahres sorgte der Internet-Dienstleister durch das Ausstellen von Zertifikaten für Paypal-Phishing-Seiten [4] für negative Schlagzeilen. (des [5])

URL dieses Artikels:
https://www.heise.de/-2848793

Links in diesem Artikel:
[1] http://news.netcraft.com/archives/2015/10/12/certificate-authorities-issue-hundreds-of-deceptive-ssl-certificates-to-fraudsters.html
[2] http://news.netcraft.com/archives/2015/10/12/certificate-authorities-issue-hundreds-of-deceptive-ssl-certificates-to-fraudsters.html
[3] https://www.heise.de/news/Cloudflare-schenkt-all-seinen-Kunden-ein-bisschen-SSL-2405628.html
[4] https://www.heise.de/news/Paypal-Phisher-missbrauchen-kostenlose-SSL-Zertifikate-von-Cloudflare-2514585.html
[5] mailto:des@heise.de

Copyright © 2015 Heise Medien