长期以来，加密所有HTTP流量一直被认为是一个密钥安全目标，但这方面存在两个密钥障碍。首先，证书不是免费的，许多所有者不愿意付钱；其次，证书本身并不总是可以由站点所有者设置的。

“让我们加密”项目是为了消除这些障碍而创建的。该项目的目标是向所有网站所有者提供免费证书；此外，还可以在web服务器上设置软件，使过程尽可能自动化。它得到了许多大型互联网公司和非盈利组织的支持，其中包括：Akamai、Cisco、Electronic Frontier Foundation（EFF）、Facebook和Mozilla。让我们加密只颁发域验证证书，而不颁发扩展验证（EV）证书，这包括有关站点所有者身份的附加检查。

不幸的是，“让我们加密”被滥用的可能性一直存在。因此，我们一直在关注使用Let-s加密证书的恶意站点。从12月21日开始，我们看到一个恶意服务器的活动，流量来自日本的用户。此活动导致网站托管钓鱼者攻击工具包，该工具包会将银行特洛伊木马（BKDR_VAWTRAK.AAAFV）下载到受影响的计算机上。

图1。每日攻击恶意服务器

我们认为，这次攻击是我们9月份首次确定的针对日本用户的恶意攻击行动的延续。

这次袭击是怎么进行的？malvertisers使用了一种叫做“域阴影”的技术。已获得在合法域下创建子域的能力的攻击者会这样做，但创建的子域会导致在攻击者控制下的服务器。在这种特殊情况下，攻击者在合法站点下创建了ad.{rengal domain}.com。请注意，在网站管理员能够正确解决此问题之前，我们将隐藏此网站的名称

到这个创建的子域的通信被HTTPS和Let's Encrypt证书保护，如下所示：

图2。让我们加密SSL证书

该域名承载了一个广告，似乎与合法域名有关，以掩饰其流量。它的重定向脚本的一部分也从一个JavaScript文件移到了一个.GIF文件中，这使得识别有效负载更加困难。与我们在9月袭击中发现的类似的反反反病毒代码仍然存在。此外，它还使用了一个开放的双击重定向——Kafeine之前讨论过的恶意软件不需要咖啡的策略。

图3。错误转换使用的代码

任何有益的技术都可能被网络罪犯滥用，像《让我们加密》这样的数字证书也不例外。作为证书颁发机构，我们知道如何滥用SSL信任系统。类似这样的情况下，攻击者能够在合法域名下创建子域，这表明存在问题。自动颁发特定于这些子域的证书的证书颁发机构可能无意中帮助了网络罪犯，所有这些都是由于域所有者不知道该问题并且无法阻止该问题。

域验证证书仅确认相关域受站点收件人的控制。理论上，这不应该验证接收者的身份。然而，终端用户对证书的细微差别不太了解，可能会忽略这些差异，因此，这些DV证书可以帮助黑客获得公众的合法性。

虽然Let'sEncrypt声明他们不认为CA应该充当内容过滤器，但他们确实检查了它针对Google安全浏览API发布的域。

理想情况下，中情局应该愿意取消发给被各种威胁行为体滥用的非法当事方的证书。然而，只有当所有关键参与者（浏览器、ca和反病毒公司）在消除不良行为方面发挥积极作用时，基础设施的安全才有可能实现。恶意转发事件的一个关键收获是，网站所有者应确保他们保护自己的网站控制面板，以确保在不知情的情况下不会创建超出其控制范围的新子域。

同时，用户还应意识到，“安全”站点不一定是安全站点，我们还注意到，针对漏洞工具包的最佳防御措施仍然是保持软件的最新状态，以尽量减少可能被攻击的漏洞数量。

我们已经通知让我们加密这个被滥用的证书。

折衷指标

钓鱼者攻击工具包的负载具有以下SHA1哈希：

• 63c88467a0f67e2f3125fd7d3d15cad0b213a5cb

还有柯克·霍尔和斯蒂芬·希利尔的见解

更新于2016年1月7日，太平洋标准时间凌晨3:20（UTC-8）：我们更新了此条目，以澄清我们提到的与所报告的恶意眩晕事件有关的加密，以及针对安全研究员Ryan Hurst提出的有关CA的要点。在本例中使用的CA是“加密”，但其他CA可能会被其他威胁参与者滥用以发起类似的攻击。我们还澄清了我们对DV证书的立场，并重写了最后一段，以强调整体解决方案的价值和基础设施各个方面的安全态势。

更新于2016年1月19日，太平洋标准时间晚上11:45（UTC-8）：我们更新了这篇文章，以反映我们调查的新发展。