國內(nèi)CA機構沃通被爆在沒有審核域名歸屬的情況下,給申請者頒發(fā)了一張GitHub根域名的SSL證書。
事件經(jīng)過
傳統(tǒng)的電子證書管理系統(tǒng)其實是互聯(lián)網(wǎng)上最薄弱的一環(huán),用戶們盲目相信全球的CA機構能夠保護他們的機密和個人信息的完整性。但是,這些證書機構能夠為任何你所擁有的域名頒發(fā)合法的SSL證書,也不會管你有沒有在其他的證書機構購買過。這是CA系統(tǒng)中最大的漏洞。而最近的這起事件中,沃通在沒有審核域名歸屬的情況下,就為某申請者頒發(fā)了一張SSL證書。
沃通(WoSign) 是一家國內(nèi)的證書簽發(fā)機構,公司自稱是中國最大的國產(chǎn)品牌數(shù)字證書頒發(fā)機構,中國市場占有率超過70%,擁有全球信任的頂級根證書。
這起事件由英國的Mozilla程序員Gervase Markham發(fā)布在Mozilla的安全政策郵箱列表里,據(jù)他說,這樣的情況從2015年7月就開始了,他一直沒有上報。
Markham在郵件列表里稱,2015年6月,有申請者發(fā)現(xiàn)沃通免費證書服務存在問題,只要申請者證明他們擁有子域名,沃通就會給他們頒發(fā)根域的證書。這名申請者本來是想要申請一張’med.ucf.edu’的證書,不小心寫成了,’www.ucf.edu‘,結果沃通居然同意了,頒發(fā)了一張根域名的證書給他。
為了進一步測試,研究人員用同樣的方法針對Github的根域名實施了欺騙,眾所周知,GitHub是可以支持用戶創(chuàng)建自己的{username}.github.io子域名的。因此,當申請者證明自己有子域控制權后,沃通同樣分發(fā)了GitHub根域名的證書。
研究人員向沃通報告了這個情況,并以GitHub為例,結果沃通只是吊銷了GitHub的證書。之所以只吊銷了一個證書,可能是因為沃通沒有能力再去一個一個追蹤所有誤發(fā)的根證書。研究人員最近聯(lián)系上了Google,并且報告了ucf.edu證書一年之后還沒有被吊銷的問題。
防御方法
證書是一家網(wǎng)站與訪客建立安全通信的渠道,證書遭到泄露,會危及用戶安全造成嚴重后果。攻擊者可以利用虛假證書進行中間人攻擊從而劫持用戶。
實際上為了防止這類事件的發(fā)生,有一個公共服務機制叫做證書透明,這個機制能夠讓個人用戶和公司檢查他們的域名一共被簽發(fā)了多少張證書。
證書透明就是讓證書機構們公開他們所發(fā)布的每一張證書。實際上沃通也參加了這個機制。
雖然這個機制不能防止CA頒發(fā)假的證書,但是它能夠使得偽造證書的檢測更加方便。目前,Google,賽門鐵克、DigiCert等CA都在參與維護公共證書透明日志。
你可以使用Google或Comodo的證書透明查詢工具查詢你的域名下所有的證書。
*參考來源:THN,F(xiàn)B小編Sphinx編譯,轉載請注明來自FreeBuf.COM