Recentemente sono stato quasi catturato da un tentativo di phishing, a causa dell'uso di un nome di dominio relativamente convincente e di un certificato SSL valido (in particolare questo sito web ). Quando si controlla il certificato risulta che è stato rilasciato da Let's Encrypt. Così sono andato là e per quanto ho capito, il processo di rilascio di un certificato è automatico: se possiedi un dominio, puoi ottenere un certificato.
Tuttavia non è un problema di sicurezza e non va (almeno in parte) contro il punto dei certificati SSL? I siti Web dannosi ora possono sembrare legittimi grazie a questi certificati, il che rende molto più probabile il loro successo. Nel mio caso ho visto il lucchetto verde sull'URL e ho pensato che tutto andava bene. Ora sembra che, a causa di questo emittente di certificati, gli utenti dovranno fare clic su quel lucchetto e controllare chi ha emesso il certificato (e chiudere la scheda se proviene da letencrypt ??).
Quindi mi chiedo, dati i rischi per la sicurezza, perché i browser accettano questo certificato per impostazione predefinita? Sono sorpreso soprattutto del fatto che Chrome sia consapevole di quanto Google sia attento con la sicurezza. Pensano che LetCrypt sia una buona idea?