澳门新葡亰信誉平台游戏Mozilla将封杀沃通和 StartSSL一年内新签发的所有证书

by admin on 2020年4月27日

在Mozilla安全邮件列表上,开发者 Gervase
Markham发帖称,多起与沃通CA(WoSign)相关的事故引起了他们的注意,Mozilla正考虑
是否对沃通CA采取行动Markham谈论了三起事故:2015年4月23日左右,沃通CA允许免费证书申请者选择任意端口验证,违反了限制端口和路径使用的规定;

澳门新葡亰信誉平台游戏 1

2015年6月,免费证书申请者发现如果他们能证明控制了子
域名那么就能获得基础域名(Base
Domain)的证书,如证明控制了theiraccount.github.com/theiraccount.github.io等子域名得到了
github.com、github.io和
www.github.io的证书;2016年7月,与沃通CA有关联的StartCom
CA被发现允许证书倒填日期,倒填日期能绕过浏览器对SHA-1算法的限制。Mozilla可能采取的行动包括吊销沃通CA证书。沃通CA是中国最大的
SSL证书发行商之一,它声称中国市场每3张SSL证书中就有1张由沃通CA签发,如果吊销沃通CA证书,可能将会影响很多中国网站。

国内CA机构沃通被爆在没有审核域名归属的情况下,给申请者颁发了一张GitHub根域名的SSL证书澳门新葡亰信誉平台游戏 ,。

澳门新葡亰信誉平台游戏 2

转自:    

事件经过

传统的电子证书管理系统其实是互联网上最薄弱的一环,用户们盲目相信全球的CA机构能够保护他们的机密和个人信息的完整性。但是,这些证书机构能够为任何你所拥有的域名颁发合法的SSL证书,也不会管你有没有在其他的证书机构购买过。这是CA系统中最大的漏洞。而最近的这起事件中,沃通在没有审核域名归属的情况下,就为某申请者颁发了一张SSL证书。

沃通(WoSign)
是一家国内的证书签发机构,公司自称是中国最大的国产品牌数字证书颁发机构,中国市场占有率超过70%,拥有全球信任的顶级根证书。

这起事件由英国的Mozilla程序员Gervase
Markham发布在Mozilla的安全政策邮箱列表里,据他说,这样的情况从2015年7月就开始了,他一直没有上报。

Markham在邮件列表里称,2015年6月,有申请者发现沃通免费证书服务存在问题,只要申请者证明他们拥有子域名,沃通就会给他们颁发根域的证书。这名申请者本来是想要申请一张’med.ucf.edu’的证书,不小心写成了,’www.ucf.edu‘,结果沃通居然同意了,颁发了一张根域名的证书给他。

为了进一步测试,研究人员用同样的方法针对Github的根域名实施了欺骗,众所周知,GitHub是可以支持用户创建自己的{username}.github.io子域名的。因此,当申请者证明自己有子域控制权后,沃通同样分发了GitHub根域名的证书。

研究人员向沃通报告了这个情况,并以GitHub为例,结果沃通只是吊销了GitHub的证书。之所以只吊销了一个证书,可能是因为沃通没有能力再去一个一个追踪所有误发的根证书。研究人员最近联系上了Google,并且报告了ucf.edu证书一年之后还没有被吊销的问题。

Firefox 浏览器背后的 Mozilla
基金会正在考虑对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL
即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。

防御方法

证书是一家网站与访客建立安全通信的渠道,证书遭到泄露,会危及用户安全造成严重后果。攻击者可以利用虚假证书进行中间人攻击从而劫持用户。

实际上为了防止这类事件的发生,有一个公共服务机制叫做证书透明,这个机制能够让个人用户和公司检查他们的域名一共被签发了多少张证书。

澳门新葡亰信誉平台游戏 3
   

证书透明就是让证书机构们公开他们所发布的每一张证书。实际上沃通也参加了这个机制。

虽然这个机制不能防止CA颁发假的证书,但是它能够使得伪造证书的检测更加方便。目前,Google,赛门铁克、DigiCert等CA都在参与维护公共证书透明日志。

你可以使用Google或Comodo的证书透明查询工具查询你的域名下所有的证书。

参考来源:THN 
 编译:FreeBuf Sphinx

稿源:FreeBuf.COM

Mozilla 的工程师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1
证书进行调查之后,宣布了这个禁令。

这两家 CA 试图规避 SHA-1 停用政策

该问题主要是因为各大主要浏览器厂商共同决定从 2016 年 1 月 1
日开始就停止接受采用陈旧的 SHA-1 签名算法的证书。而 Mozilla
指责沃通今年还在签发 SHA-1 签名的证书,并将签发日期倒填成去年 12 月份。

虽然 Mozilla 也允许一些其它的 CA 在 2016 年 1 月 1 日之后继续签发 SHA-1
证书,比如说赛门铁克,但是他们仅允许那些通过了复杂的审批流程的 CA
这样做,而显然沃通没有得到同意。

沃通秘密收购了 StartCom

此外,沃通似乎在否认其收购了以色列 CA 公司 StartCom。Mozilla
说,沃通已经于 2015 年 11 月 1 日百分百地收购了
StartCom。而另一方面,据奇虎 360 称,它共计持有 84%
的沃通股份。但是这些信息沃通此前都予以否认或拒绝发表意见。

此外,在 Mozilla 披露的技术细节中显示,StartCom
已经开始使用沃通的基础架构来签发新的证书了。而且,StartCom
也和沃通一样在 2016 年采用了倒填日期的手段来签发 SHA-1 证书。Mozilla
的安全工程师也展示了这种违例的案例细节。

Mozilla 的调查发现,一个和 GeoTrust CA 合作了多年的付费处理机构 Tyro
突然在 6 月中旬使用 StartCom 部署了一个 SHA-1
签名的证书,而此前该机构从未和 StartCom 有过合作。该证书看起来是在 2015
年 12 月 20 日签发的,而在同一个日期 StartCom 签发大量的 SHA-1
证书。Mozlla 发现这些证书部署于 2016
年中,这很不正常,这显然是采用倒填日期来规避 SHA-1 停用的策略。

这些问题以及其它的更多问题让 Mozilla 决定在至少一年内不再信任沃通和
StartCom 的 SSL 证书。

或许会永久封杀

Mozilla
说这个临时封杀仅针对这两个公司最新签发的证书,不影响已经分发给他们的客户的证书。如果这两个公司在一年的封杀后没有通过一系列的检查,Mozilla
将准备封杀这两个公司的所有证书。

“许多人都在盯着 Web PKI
安全体系,如果发现了这样的倒填(不管是什么原因),Mozilla
会立即永久地取消对沃通和 StartCom 根证书的信任。”该报告中说。

此外,Chrome
和其它产品的对它们的封杀也在计划中。“其它的浏览器厂商和根证书存储运营者也会做出他们自己的决定,我们在这个文档中摆出了这些信息,以便他们了解我们做出这个决定的原因,并可以据此做出他们的决定。”Mozilla
说。

【编辑推荐】

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图