Mozilla 考虑对沃通 CA 采取行动

by admin on 2020年4月25日

澳门新葡亰信誉平台游戏 1

在Mozilla安全邮件列表上,开发者 Gervase
Markham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们的注意,Mozilla正考虑
是否对沃通CA采取行动Markham谈论了三起事故:2015年4月23日左右,沃通CA允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;

Google 正在考虑对赛门铁克及其证书经销商多次重复不正确地发出 SSL
证书的事件进行严厉的处罚,拟议的计划是强制该公司更换其所有客户的证书,并停止识别拥有该证书的扩展验证(EV)状态。如果
Google 的计划付诸实施,数百万的现有 Symantec 证书将在未来12个月内在
Google Chrome 中不受信任。

国内CA机构沃通被爆在没有审核域名归属的情况下,给申请者颁发了一张GitHub根域名的SSL证书。

2015年6月,免费证书申请者发现如果他们能证明控制了子
域名那么就能获得基础域名(Base
Domain)的证书,如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了
github.com、github.io和
www.github.io的证书;2016年7月,与沃通CA有关联的StartCom
CA被发现允许证书倒填日期,倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的
SSL证书发行商之一,它声称中国市场每3张SSL证书中就有1张由沃通CA签发,如果吊销沃通CA证书,可能将会影响很多中国网站。

澳门新葡亰信誉平台游戏 2

事件经过

传统的电子证书管理系统其实是互联网上最薄弱的一环,用户们盲目相信全球的CA机构能够保护他们的机密和个人信息的完整性。但是,这些证书机构能够为任何你所拥有的域名颁发合法的SSL证书,也不会管你有没有在其他的证书机构购买过。这是CA系统中最大的漏洞。而最近的这起事件中,沃通在没有审核域名归属的情况下,就为某申请者颁发了一张SSL证书。

沃通(WoSign)
是一家国内的证书签发机构,公司自称是中国最大的国产品牌数字证书颁发机构,中国市场占有率超过70%,拥有全球信任的顶级根证书。

这起事件由英国的Mozilla程序员Gervase
Markham发布在Mozilla的安全政策邮箱列表里,据他说,这样的情况从2015年7月就开始了,他一直没有上报。

澳门新葡亰信誉平台游戏,Markham在邮件列表里称,2015年6月,有申请者发现沃通免费证书服务存在问题,只要申请者证明他们拥有子域名,沃通就会给他们颁发根域的证书。这名申请者本来是想要申请一张’med.ucf.edu’的证书,不小心写成了,’www.ucf.edu‘,结果沃通居然同意了,颁发了一张根域名的证书给他。

为了进一步测试,研究人员用同样的方法针对Github的根域名实施了欺骗,众所周知,GitHub是可以支持用户创建自己的{username}.github.io子域名的。因此,当申请者证明自己有子域控制权后,沃通同样分发了GitHub根域名的证书。

研究人员向沃通报告了这个情况,并以GitHub为例,结果沃通只是吊销了GitHub的证书。之所以只吊销了一个证书,可能是因为沃通没有能力再去一个一个追踪所有误发的根证书。研究人员最近联系上了Google,并且报告了ucf.edu证书一年之后还没有被吊销的问题。

转自:    

SSL / TLS 证书是用于加密浏览器和支持 HTTPS
网站之间的连接,并验证用户是否真正访问他们打算使用的网站,避免欺诈网站。这些证书由被认为是浏览器和操作系统默认信任的证书颁发机构颁发,颁发和管理证书的过程由
CA/Browser
Forum(成员包括浏览器供应商和证书颁发机构)创建的规则管理。当这些规则被违背时,浏览器和操作系统供应商可以撤销对违规证书的信任,并对负责的证书颁发机构进行制裁,以便将其从其根证书存储区踢出。

防御方法

证书是一家网站与访客建立安全通信的渠道,证书遭到泄露,会危及用户安全造成严重后果。攻击者可以利用虚假证书进行中间人攻击从而劫持用户。

实际上为了防止这类事件的发生,有一个公共服务机制叫做证书透明,这个机制能够让个人用户和公司检查他们的域名一共被签发了多少张证书。

澳门新葡亰信誉平台游戏 3
   

证书透明就是让证书机构们公开他们所发布的每一张证书。实际上沃通也参加了这个机制。

虽然这个机制不能防止CA颁发假的证书,但是它能够使得伪造证书的检测更加方便。目前,Google,赛门铁克、DigiCert等CA都在参与维护公共证书透明日志。

你可以使用Google或Comodo的证书透明查询工具查询你的域名下所有的证书。

参考来源:THN 
 编译:FreeBuf Sphinx

稿源:FreeBuf.COM

Google
认为,对最近发生的事件进行调查发现,赛门铁克并未做好认证机构的安全监督工作,例如验证域控制、审核日志以证明未经授权的发行,去尽量减少颁发欺诈证书。

赛门铁克由于多年来的收购,现已控制了几个以前独立的认证机构的根证书,包括
VeriSign、GeoTrust、Thawte 和
RapidSSL,使其成为世界上最大的商业证书颁发机构。Google
的这项行动将给赛门铁克带来巨大的压力,因为公司必须与所有客户联系,重新验证其身份和所有权,并将其现有证书替换为新的证书,而且有可能要全部免费更换,有些公司甚至在短时间内更换证书还会出现问题。除此之外,赛门铁克可能必须给支付
EV 证书的客户退款,因为它们将不再被 Chrome 认可,失去了价值。

可以肯定地说,Google 的制裁会对赛门铁克的 SSL
业务产生重大影响,这还是第一次浏览器供应商因行为不当对 CA
进行如此严厉且大规模的处罚。

澳门新葡亰信誉平台游戏 4

赛门铁克自然是强烈反对 Google
的计划,批评其对公司过去的误解,并用言论对用户造成“夸张和误导”。该公司在想办法尽可能减少
Google 带来的潜在伤害,打算与 Google 讨论此事并寻求共同商定的解决方案。

同时,自己管理根证书的 Mozilla
也在考虑对赛门铁克进行制裁,并可能和 Google 的行动保持一致。

“现在 Google 已经宣布了他们的行动,但不难发现,CA 对于两个 root stores
可能采取的是同样的方法,会存在一样的问题,因此对于同样的操作,CA
并没有被双重惩罚”,Mozilla 的 Gervase Markham
在该组织的安全政策邮件列表中写道。

然而,Markham 也指出,Google
目前的计划还处于考虑阶段,回顾以往的先例和对其他 CA
制裁的反应来看,这绝对会是一个十分艰难的过程。

编译自:arnnet

(文/开源中国)    

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图