如何应对伪造的 SSL 证书?

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
.cn 域名,1个 12个月
简介:

如何应对伪造的 SSL 证书?

在互联网中,仍存在一个巨大的加密后门,可怕的是大部分人却并不知道。我所指的是传统的数字证书管理系统,它完全是基于信任的,但同时它又是十分脆弱的,其信任认证曾被多次打破。

数十亿的互联网用户为了确保个人数据的机密性和完整性,盲目地依赖于全球的数百个证书颁发机构。

在这篇文章中,我将解释以下问题:

  • 当前数字证书管理系统中的结构性漏洞
  • 证书颁发机构为什么失去了人们的信任?
  • 证书透明度是如何弥补 SSL 证书系统中存在的问题的?
  • 如何发现所有指向你域名的数字证书(合法或伪造)?

首先,你需要了解证书颁发机构及其作用:

证书颁发机构及其作用

证书颁发机构(CA)是一个受信任的第三方组织,负责发布和管理 SSL/TLS 证书。

全球有数百个受信任的证书颁发机构,他们中任何一个都有权利为你的域名颁发有效的 SSL 证书,尽管你可能已经从某个证书颁发机构购买了一个。

对,这就是 CA 系统中最大的漏洞。

SSL 的信任链破裂

去年,谷歌发现赛门铁克(证书颁发机构之一)在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。

这样的事情已经不是第一次发生了,证书颁发机构的权利被滥用或者是错误地被用于发布伪造的数字证书,这样的举动使数百万互联网用户的隐私处于危险之中。

2011年3月,一名黑客入侵了 Comodo 公司(一个著名的证书颁发机构),偷走了七个 Web 域共9个数字证书,包括:mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。在同一年,荷兰的证书颁发机构 DigiNotar 同样遭到了黑客入侵,颁发了大量的伪造证书。

由于信任链的破裂,数百万的用户遭到了中间人攻击。

此外,爱德华·斯诺登泄露的文件透露:美国国家安全局截取和破解了大量 HTTPS 加密的 Web 会话,这也表明,某些所谓受信任的证书颁发机构可能受到了政府的控制或者得到了政府的授权。

如果政府要求某些这样的证书颁发机构颁发一些著名网站的伪造 SSL 证书,例如 Facebook、Google 或 Yahoo,那该如何是好?

这并不是一个推测,而是实实在在发生过的。政府机构和一些政府所资助的黑客通过滥用受信任的证书颁发机构来获取伪造的一些知名网站的数字证书,并将其用于监视用户。

涉及到政府的一些案例

1) 2011年,DigiNotar 证书颁发机构颁发的伪造数字证书被用于攻击约300000个伊朗用户的 Gmail 账户。

2) 2013年末,谷歌发现法国政府伪造了其域名的数字证书,并将其用于实施中间人攻击。



3) 2014年,谷歌证实了又一事件:印度国家信息中心使用了其域名的未授权数字证书

到了这你就能明白,那些所谓的证书颁发机构给予 HTTPS 加密网站的安全性有多么脆弱了吧。

你仍然盲目地信任证书颁发机构吗?

DigiNotar 公司和 Comodo 公司的事件为我们敲响了警钟,也结束了这盲目信任证书颁发机构的时代。

问题:你如何去检查是否有指向你域名的伪造证书被发行给他人,甚至是被攻击者所利用?

答案:证书透明度Certificate Transparency项目,它的目标是提供一个开放的审计和监控系统,可以让任何域名所有者或者证书颁发机构确定证书是否被错误签发或者被恶意使用,从而提高 HTTPS 网站的安全性。

在2013年,谷歌发起了一个针对全行业的倡议,名为证书透明度Certificate Transparency,这是一个开源项目,用于记录,审计和监控证书颁发机构所颁发的数字证书。

什么是证书透明度系统?

证书透明度项目包括三部分:

  1. 证书日志
  2. 证书监视
  3. 证书审计

证书透明度项目要求证书颁发机构公开地宣布其颁发的每一个数字证书(将其记录到证书日志中)。证书日志提供给用户一个查找某个给定域名颁发的所有数字证书的途径。

值得注意的是,证书透明度模型并没有替代传统的以证书颁发机构为基础的鉴定验证程序,它只是提供给你一个途径,让你可以确保你的证书是独一无二的。

证书日志有3个优点:

  1. 仅允许附加:证书记录只能被添加,而不能被删除,修改,或者追溯地将数据插入日志。
  2. 加密可靠:证书日志使用知名的 “Merkle Tree Hashes” 加密机制来防止被篡改。
  3. 公开审计:任何人都可以查询日志,或者验证颁发的数字证书是否已经被合理地记录在了日志之中。

在证书透明度项目中,每个数字证书都包含一个证书时间戳,它可以证明数字证书在被颁发之前已经被记录到了日志之中。

谷歌,DigiCert、赛门铁克和一些证书颁发机构目前管理着这些公开日志

虽然证书透明度不能阻止证书颁发机构颁发伪造的数字证书,但是它可以让我们更容易地发现它们。

证书透明度将让人们可以快速地识别出被错误地或者恶意地颁发的数字证书,以此来缓解可能会出现的安全问题,例如中间人攻击

今年早些时候,证书透明度系统和监控服务帮助 facebook 安全团队提前检测到了多个 fb.com 子域的伪造证书。

在另一篇文章中,我详细介绍了 facebook 所提供的证书透明度监控服务,它可以自动而快捷地发现 SSL 证书的问题。

Facebook 已经向 The Hacker News (THN) 证实,在未来几个月会把试验性的证书透明度监控服务免费提供给更多的社区。

证书透明度搜索工具

听起来很有趣?

Comodo 已经推出了一款证书透明度搜索工具,它可以列出给定域名所有颁发的证书。或者,你也可以去试试谷歌的证书透明度查询工具,它可以在目前公开的证书透明度日志中查询任意一个给定的域名的所有颁发证书。

如果你发现有指向你域名的伪造证书,请立即报告给相应的证书颁发机构解决。




本文来自云栖社区合作伙伴“Linux中国”

原文发布时间为:2013-04-02.

相关文章
|
21天前
|
算法 安全 网络安全
阿里云SSL证书双11精选,WoSign SSL国产证书优惠
2024阿里云11.11金秋云创季活动火热进行中,活动月期间(2024年11月01日至11月30日)通过折扣、叠加优惠券等多种方式,阿里云WoSign SSL证书实现优惠价格新低,DV SSL证书220元/年起,助力中小企业轻松实现HTTPS加密,保障数据传输安全。
562 3
阿里云SSL证书双11精选,WoSign SSL国产证书优惠
|
27天前
|
算法 安全 数据建模
阿里云SSL证书限时优惠,WoSign DV证书220元/年起
2024年11月01日至11月30日,阿里云SSL证书限时优惠,部分证书产品新老同享75折起;阿里云用户通过完成个人或企业实名认证,还可领取不同额度的满减优惠券!通过优惠折扣、叠加满减优惠券等多种方式,阿里云WoSign SSL证书将实现优惠价格新低,DV SSL证书220元/年起!
607 5
阿里云SSL证书限时优惠,WoSign DV证书220元/年起
|
2月前
|
负载均衡 算法 网络安全
阿里云WoSign SSL证书申请指南_沃通SSL技术文档
阿里云平台WoSign品牌SSL证书是由阿里云合作伙伴沃通CA提供,上线阿里云平台以来,成为阿里云平台热销的国产品牌证书产品,用户在阿里云平台https://www.aliyun.com/product/cas 可直接下单购买WoSign SSL证书,快捷部署到阿里云产品中。
2256 8
阿里云WoSign SSL证书申请指南_沃通SSL技术文档
|
14天前
|
网络安全
给网站免费申请SSL证书
为网站申请免费SSL证书是提升安全性的关键步骤。本文简要介绍如何通过JoySSL申请并部署免费SSL证书,包括选择证书类型、提交申请、验证域名、下载及安装证书等步骤,同时提醒注意备份证书、定期检查状态和更新服务器配置。
|
18天前
|
存储 安全 网络安全
SSL网络安全证书,守护您的数字世界
SSL证书的应用场景广泛,它是保护网络通信安全的重要手段。无论是个人用户还是企业组织,都应该认识到SSL证书的重要性,并采取适当的措施来部署和使用SSL证书,以保护自己的数据和隐私不受侵害。
|
25天前
|
算法 数据建模 网络安全
阿里云SSL证书2024双11优惠,WoSign DV证书220元/年起
2024阿里云11.11金秋云创季火热进行中,活动月期间(2024年11月01日至11月30日),阿里云SSL证书限时优惠,部分证书产品新老同享75折起;通过优惠折扣、叠加满减优惠券等多种方式,阿里云WoSign SSL证书将实现优惠价格新低,DV SSL证书220元/年起。
585 5
|
24天前
|
网络协议 应用服务中间件 网络安全
2024阿里云免费版SSL证书申请流程,跟着教程一步步,非常简单!
2024年最新阿里云免费SSL证书申请流程,品牌为Digicert,每个阿里云账号可免费申请20张单域名证书,免费时长为3个月。申请流程包括登录数字证书管理服务控制台、创建证书、域名验证和下载证书。详情请参考阿里云官方页面。
293 2
|
2月前
|
数据建模 网络安全
阿里云申请SSL证书价格多少钱一年?免费版和付费版价格手动整理
阿里云SSL证书提供多种类型和品牌的证书选择,包括免费和付费选项。付费证书如WoSign单域名SSL证书238元/年,DigiCert通配符DV证书1500元/年,GlobalSign企业型1864元/年。免费证书由Digicert提供,有效期3个月,适用于单域名。更多详情见阿里云官网。
453 1
|
2月前
|
算法 小程序 网络安全
阿里云WoSign SSL证书,RSA和国密有什么区别?_沃通SSL技术文档
阿里云WoSign品牌SSL证书为用户提供国密合规SM2算法SSL证书、全球信任RSA算法SSL证书,全球信任、国密合规,能够满足阿里云平台用户不同的SSL证书应用需求。那么阿里云WoSign SSL证书分别提供的RSA算法和国密算法,有什么区别呢?
613 6
|
2月前
|
Web App开发 算法 安全
什么是阿里云WoSign SSL证书?_沃通SSL技术文档
WoSign品牌SSL证书由阿里云平台SSL证书合作伙伴沃通CA提供,上线阿里云平台以来,成为阿里云平台热销的国产品牌证书产品。
1843 2