如何应对伪造的 SSL 证书?

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:

如何应对伪造的 SSL 证书?

在互联网中,仍存在一个巨大的加密后门,可怕的是大部分人却并不知道。我所指的是传统的数字证书管理系统,它完全是基于信任的,但同时它又是十分脆弱的,其信任认证曾被多次打破。

数十亿的互联网用户为了确保个人数据的机密性和完整性,盲目地依赖于全球的数百个证书颁发机构。

在这篇文章中,我将解释以下问题:

  • 当前数字证书管理系统中的结构性漏洞
  • 证书颁发机构为什么失去了人们的信任?
  • 证书透明度是如何弥补 SSL 证书系统中存在的问题的?
  • 如何发现所有指向你域名的数字证书(合法或伪造)?

首先,你需要了解证书颁发机构及其作用:

证书颁发机构及其作用

证书颁发机构(CA)是一个受信任的第三方组织,负责发布和管理 SSL/TLS 证书。

全球有数百个受信任的证书颁发机构,他们中任何一个都有权利为你的域名颁发有效的 SSL 证书,尽管你可能已经从某个证书颁发机构购买了一个。

对,这就是 CA 系统中最大的漏洞。

SSL 的信任链破裂

去年,谷歌发现赛门铁克(证书颁发机构之一)在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。

这样的事情已经不是第一次发生了,证书颁发机构的权利被滥用或者是错误地被用于发布伪造的数字证书,这样的举动使数百万互联网用户的隐私处于危险之中。

2011年3月,一名黑客入侵了 Comodo 公司(一个著名的证书颁发机构),偷走了七个 Web 域共9个数字证书,包括:mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。在同一年,荷兰的证书颁发机构 DigiNotar 同样遭到了黑客入侵,颁发了大量的伪造证书。

由于信任链的破裂,数百万的用户遭到了中间人攻击。

此外,爱德华·斯诺登泄露的文件透露:美国国家安全局截取和破解了大量 HTTPS 加密的 Web 会话,这也表明,某些所谓受信任的证书颁发机构可能受到了政府的控制或者得到了政府的授权。

如果政府要求某些这样的证书颁发机构颁发一些著名网站的伪造 SSL 证书,例如 Facebook、Google 或 Yahoo,那该如何是好?

这并不是一个推测,而是实实在在发生过的。政府机构和一些政府所资助的黑客通过滥用受信任的证书颁发机构来获取伪造的一些知名网站的数字证书,并将其用于监视用户。

涉及到政府的一些案例

1) 2011年,DigiNotar 证书颁发机构颁发的伪造数字证书被用于攻击约300000个伊朗用户的 Gmail 账户。

2) 2013年末,谷歌发现法国政府伪造了其域名的数字证书,并将其用于实施中间人攻击。



3) 2014年,谷歌证实了又一事件:印度国家信息中心使用了其域名的未授权数字证书

到了这你就能明白,那些所谓的证书颁发机构给予 HTTPS 加密网站的安全性有多么脆弱了吧。

你仍然盲目地信任证书颁发机构吗?

DigiNotar 公司和 Comodo 公司的事件为我们敲响了警钟,也结束了这盲目信任证书颁发机构的时代。

问题:你如何去检查是否有指向你域名的伪造证书被发行给他人,甚至是被攻击者所利用?

答案:证书透明度Certificate Transparency项目,它的目标是提供一个开放的审计和监控系统,可以让任何域名所有者或者证书颁发机构确定证书是否被错误签发或者被恶意使用,从而提高 HTTPS 网站的安全性。

在2013年,谷歌发起了一个针对全行业的倡议,名为证书透明度Certificate Transparency,这是一个开源项目,用于记录,审计和监控证书颁发机构所颁发的数字证书。

什么是证书透明度系统?

证书透明度项目包括三部分:

  1. 证书日志
  2. 证书监视
  3. 证书审计

证书透明度项目要求证书颁发机构公开地宣布其颁发的每一个数字证书(将其记录到证书日志中)。证书日志提供给用户一个查找某个给定域名颁发的所有数字证书的途径。

值得注意的是,证书透明度模型并没有替代传统的以证书颁发机构为基础的鉴定验证程序,它只是提供给你一个途径,让你可以确保你的证书是独一无二的。

证书日志有3个优点:

  1. 仅允许附加:证书记录只能被添加,而不能被删除,修改,或者追溯地将数据插入日志。
  2. 加密可靠:证书日志使用知名的 “Merkle Tree Hashes” 加密机制来防止被篡改。
  3. 公开审计:任何人都可以查询日志,或者验证颁发的数字证书是否已经被合理地记录在了日志之中。

在证书透明度项目中,每个数字证书都包含一个证书时间戳,它可以证明数字证书在被颁发之前已经被记录到了日志之中。

谷歌,DigiCert、赛门铁克和一些证书颁发机构目前管理着这些公开日志

虽然证书透明度不能阻止证书颁发机构颁发伪造的数字证书,但是它可以让我们更容易地发现它们。

证书透明度将让人们可以快速地识别出被错误地或者恶意地颁发的数字证书,以此来缓解可能会出现的安全问题,例如中间人攻击

今年早些时候,证书透明度系统和监控服务帮助 facebook 安全团队提前检测到了多个 fb.com 子域的伪造证书。

在另一篇文章中,我详细介绍了 facebook 所提供的证书透明度监控服务,它可以自动而快捷地发现 SSL 证书的问题。

Facebook 已经向 The Hacker News (THN) 证实,在未来几个月会把试验性的证书透明度监控服务免费提供给更多的社区。

证书透明度搜索工具

听起来很有趣?

Comodo 已经推出了一款证书透明度搜索工具,它可以列出给定域名所有颁发的证书。或者,你也可以去试试谷歌的证书透明度查询工具,它可以在目前公开的证书透明度日志中查询任意一个给定的域名的所有颁发证书。

如果你发现有指向你域名的伪造证书,请立即报告给相应的证书颁发机构解决。




本文来自云栖社区合作伙伴“Linux中国”

原文发布时间为:2013-04-02.

相关文章
|
3月前
|
安全 算法 网络协议
解析:HTTPS通过SSL/TLS证书加密的原理与逻辑
HTTPS通过SSL/TLS证书加密,结合对称与非对称加密及数字证书验证实现安全通信。首先,服务器发送含公钥的数字证书,客户端验证其合法性后生成随机数并用公钥加密发送给服务器,双方据此生成相同的对称密钥。后续通信使用对称加密确保高效性和安全性。同时,数字证书验证服务器身份,防止中间人攻击;哈希算法和数字签名确保数据完整性,防止篡改。整个流程保障了身份认证、数据加密和完整性保护。
|
2月前
|
算法 应用服务中间件 网络安全
阿里云WoSign“国密RSA双SSL证书”应用实践
阿里云WoSign品牌SSL证书是阿里云平台热销的国产品牌证书之一,支持签发国密合规的SM2算法SSL证书以及全球信任的RSA算法SSL证书,能够满足平台用户不同的SSL证书应用需求,同时为用户提供国密模块支持,实现“国密/RSA双证书部署”。
450 6
阿里云WoSign“国密RSA双SSL证书”应用实践
|
2月前
|
算法 安全 应用服务中间件
2025阿里云智惠采购季,WoSign SSL国产证书折上折满减优惠
**2025阿里云“智慧采购季,就上阿里云”活动火热进行中!** 3月1日至31日,阿里云WoSign品牌SSL证书新老用户同享折上折满减优惠。DV SSL证书低至220元/年起,轻松实现HTTPS加密,保障数据传输安全。领取“智惠采购季上云礼包”,先领券再下单,享受满减优惠。WoSign品牌SSL证书国密RSA双算法支持,确保广泛兼容与可靠部署。
743 2
2025阿里云智惠采购季,WoSign SSL国产证书折上折满减优惠
|
2月前
|
运维 安全 网络安全
【运维实战分享】轻松搞定 SSL 证书管理,告别证书繁琐操作
Spug证书平台的最大亮点之一就是其极为简化的证书申请流程,无论是新手还是经验丰富的运维专家,都可以在几分钟内轻松完成证书的申请,通过微信扫码直接登录申请,无需复杂注册,整个过程既方便又快捷。
113 17
|
2月前
|
运维 安全 数据建模
阿里云数字证书管理服务免费版和收费版SSL证书区别、收费标准、申请及部署教程参考
阿里云数字证书管理服务提供多种SSL证书类型和品牌,适用于不同规模的网站,包括但不限于电商、小型企业、大型企业或个人等。阿里云SSL证书有收费版的也有免费版的,有的新手用户由于是初次在阿里云申请SSL证书,可能不是很清楚免费版证书的申请和部署流程,本文为以图文形式为大家展示阿里云免费版SSL证书最新的申请及部署教程,以供参考。
|
2月前
|
算法 数据建模 应用服务中间件
阿里云2025智惠采购季,WoSign SSL证书优惠叠加使用攻略
阿里云2025智惠采购季,WoSign SSL证书折上折满减优惠!活动月期间(2025年03月01日至03月31日)活动折扣叠加满减优惠券,具体如何操作才能获取组合优惠价格呢?快来get优惠券组合使用攻略吧!
481 4
|
4月前
|
数据建模 网络安全
阿里云SSL证书不同类型DV、OV和EV如何收费?单域名和通配符SSL价格整理
阿里云SSL证书提供免费和收费版本,涵盖DV、OV、EV多种类型。收费证书品牌包括DigiCert、GlobalSign等,价格从238元/年起。免费SSL证书由Digicert提供,单域名有效3个月,每个实名主体每年可领取20个。具体价格和详情见阿里云SSL官方页面。
|
3月前
|
云安全 运维 安全
阿里云免费版SSL证书申请及部署图文教程指导
SSL证书是个人和企业搭建网站不可或缺的云安全产品,SSL证书能够为网站和移动应用(APP)及小程序提供数据HTTPS加密协议访问,保障数据的安全。阿里云SSL证书有收费版的也有免费版的,有的新手用户由于是初次在阿里云申请SSL证书,可能不是很清楚免费版证书的申请和部署流程,本文为以图文形式为大家展示阿里云免费版SSL证书最新的申请及部署教程,以供参考。
|
2月前
|
数据建模 网络安全
阿里云申请SSL证书价格多少钱一年?2025免费版和付费版收费标准
阿里云SSL证书提供免费和付费版本,适合不同需求。付费证书品牌涵盖WoSign、DigiCert、GlobalSign等,类型包括DV(域名验证)、OV(企业验证)和EV(扩展验证),价格从238元/年起,通配符和多域名证书价格更高。新用户享5折起优惠,全系列75折起。免费版由Digicert提供,仅支持单域名,有效期3个月,特殊域名可能无法申请。建议正式环境选用付费证书以确保稳定性与安全性。详情及申请流程可参考阿里云官方文档或控制台操作指引。
1255 0
|
3月前
|
安全 搜索推荐 网络安全
免费SSL证书:一键加密,守护网站安全
在互联网时代,网站安全至关重要。SSL证书是保护网站数据传输安全的核心工具,提供数据加密、提升信任度、提高搜索引擎排名及避免“不安全”警告等多重优势。现在,您可以通过JoySSL官网免费获取SSL证书,只需注册并填写注策码(230907),即可一键加密,轻松守护网站安全,提升用户体验和品牌形象。立即行动,为您的网站穿上“安全防护衣”!
79 11

热门文章

最新文章