Today we have new research from Cyber ​​Forensics Innovation (CyFI) Lab from Georgia Tech on the topic Extended Validation (EV) SSL and online criminal actors. The CyFI laboratory collected the domain names from 2.6 million EV certificates from 2010 and compared them to a number of sources that identified known or suspected bad actors. These sources included domains related to:

• Underground marketplaces and forums
• Bad IP blacklists
• Malware

This investigation, carried out by a financial Contribution made possible by Sectigo revealed that 99.99% of the domains were with EV certificates have no association with the domains identified above have bad actors. In his research report says the Research Team:

„Die Wahrscheinlichkeit, dass ein EV-SSL-Zertifikat mit fehlerhaften Domains in Verbindung gebracht wird, beträgt weniger als 0,00013 oder weniger als 0,013%. Das bedeutet, dass EV-SSL-Zertifikate höchstwahrscheinlich nicht mit Domains verknüpft sind, die mit Untergrundforen und -marktplätzen oder Malware- / Cybercrime-Aktivitäten in Verbindung stehen. “

Da einige Malware-Programme aus funktionalen Gründen beliebte Websites anpingen, die von der Malware-Aktivität völlig unabhängig und unschuldig sind, kann diese Zahl im Hinblick auf den Grad der Sicherheit, den ein EV-Zertifikat bietet, pessimistisch sein. Die von CyFI gefundene Malware-Liste enthält beispielsweise Domänen von Apple, Symantec, Comodo und Citrix. Es ist sehr unwahrscheinlich, dass diese Unternehmen schlechte Schauspieler sind, sondern dass die Malware-Autoren diese Websites aus anderen Gründen vollständig berühren.

Unter den 2,6 Millionen bewerteten EV-Domains entdeckte CyFI insgesamt drei Domains mit EV-Zertifikaten, die Cyber-Akteuren zugeordnet sind, die auf unterirdischen Marktplätzen und Foren aktiv verfolgt werden, sowie sieben Cyber-Akteuren, die mit ihnen verbunden sind. Die Beschreibung enthält Details zu diesen Domänen und Akteuren.

Das Forschungsteam schreibt: „Wir haben festgestellt, dass die Wahrscheinlichkeit, dass eine Domain mit einem EV-Zertifikat missbraucht oder mit Cyberkriminalität in Verbindung gebracht wird, vernachlässigbar ist Mit Internetkriminalität oder Missbrauch. “Der Abschnitt mit der Zusammenfassung des Papiers fügt hinzu:„ Wir kommen zu dem Schluss, dass EV-Zertifikate in hohem Maße auf legitime Domains hinweisen, die von legitimen Unternehmen registriert wurden. Daher profitieren Benutzer davon, wenn sie die Sicherheitsindikatoren des Browsers als Leitfaden für das Vertrauen in Domänen mit EV-SSL-Zertifikaten bemerken und verwenden. “

Das CyFI-Team hat vorgeschlagen, weitere Untersuchungen zu diesem Thema durchzuführen, einschließlich der Unterschiede zwischen Domänen, die von Cyber-Akteuren eingerichtet wurden und deren Eigentümer sind, und solchen, die aufgrund von Missbrauch kompromittiert wurden. CyFI möchte auch untersuchen, wie Browser diese Informationen besser nutzen können, um dem Endbenutzer den Grad der bekannten Legitimität für eine bestimmte Site auf eine Weise mitzuteilen, die eine sicherere Entscheidungsfindung ermöglicht.

Sectigo möchte das CyFI und alle anderen akademischen und White Hat-Forscher ermutigen, sich weiterhin mit diesem Thema zu befassen. Das Unternehmen arbeitet nachdrücklich mit White Hat zusammen, um einen entscheidenden Beitrag zur allgemeinen Internetsicherheit zu leisten. Wir ermutigen jeden White Hat, der mit Secorio zusammenarbeiten möchte, potenzielle Exploits in unserer globalen PKI-Infrastruktur zu identifizieren und zu beheben, sich an uns zu wenden. Sie können uns persönlich kontaktieren – wir werden im Anschluss in Zusammenarbeit mit Sectigo mit Ihnen die wichtigsten Punkte für eine Zusammenarbeit erarbeiten.