怎樣應(yīng)對偽造的SSL證書

本篇文章給大家分享的是有關(guān)怎樣應(yīng)對偽造的SSL證書，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。數(shù)十億的互聯(lián)網(wǎng)用戶為了確保個人數(shù)據(jù)的機(jī)密性和完整性，盲目地依賴于全球的數(shù)百個證書頒發(fā)機(jī)構(gòu)。

證書頒發(fā)機(jī)構(gòu)及其作用

證書頒發(fā)機(jī)構(gòu)（CA）是一個受信任的第三方組織，負(fù)責(zé)發(fā)布和管理 SSL/TLS 證書。

全球有數(shù)百個受信任的證書頒發(fā)機(jī)構(gòu)，他們中任何一個都有權(quán)利為你的域名頒發(fā)有效的 SSL 證書，盡管你可能已經(jīng)從某個證書頒發(fā)機(jī)構(gòu)購買了一個。

對，這就是 CA 系統(tǒng)中最大的漏洞。

SSL 的信任鏈破裂

去年，谷歌發(fā)現(xiàn)賽門鐵克（證書頒發(fā)機(jī)構(gòu)之一）在 Google 不知情下為 Google 域名頒發(fā)了有效期一天的預(yù)簽證書。

這樣的事情已經(jīng)不是第一次發(fā)生了，證書頒發(fā)機(jī)構(gòu)的權(quán)利被濫用或者是錯誤地被用于發(fā)布偽造的數(shù)字證書，這樣的舉動使數(shù)百萬互聯(lián)網(wǎng)用戶的隱私處于危險之中。

2011年3月，一名黑客入侵了 Comodo 公司(一個著名的證書頒發(fā)機(jī)構(gòu))，偷走了七個 Web 域共9個數(shù)字證書，包括：mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。在同一年，荷蘭的證書頒發(fā)機(jī)構(gòu) DigiNotar 同樣遭到了黑客入侵，頒發(fā)了大量的偽造證書。

由于信任鏈的破裂，數(shù)百萬的用戶遭到了中間人攻擊。

此外，愛德華·斯諾登泄露的文件透露：美國國家安全局截取和破解了大量 HTTPS 加密的 Web 會話，這也表明，某些所謂受信任的證書頒發(fā)機(jī)構(gòu)可能受到了政府的控制或者得到了政府的授權(quán)。

如果政府要求某些這樣的證書頒發(fā)機(jī)構(gòu)頒發(fā)一些著名網(wǎng)站的偽造 SSL 證書，例如 Facebook、Google 或 Yahoo，那該如何是好？

這并不是一個推測，而是實實在在發(fā)生過的。政府機(jī)構(gòu)和一些政府所資助的黑客通過濫用受信任的證書頒發(fā)機(jī)構(gòu)來獲取偽造的一些知名網(wǎng)站的數(shù)字證書，并將其用于監(jiān)視用戶。

涉及到政府的一些案例

1) 2011年，DigiNotar 證書頒發(fā)機(jī)構(gòu)頒發(fā)的偽造數(shù)字證書被用于攻擊約300000個伊朗用戶的 Gmail 賬戶。

2) 2013年末，谷歌發(fā)現(xiàn)法國政府偽造了其域名的數(shù)字證書，并將其用于實施中間人攻擊.

3) 2014年，谷歌證實了又一事件：印度國家信息中心使用了其域名的未授權(quán)數(shù)字證書。

到了這你就能明白，那些所謂的證書頒發(fā)機(jī)構(gòu)給予 HTTPS 加密網(wǎng)站的安全性有多么脆弱了吧。

你仍然盲目地信任證書頒發(fā)機(jī)構(gòu)嗎？

DigiNotar 公司和 Comodo 公司的事件為我們敲響了警鐘，也結(jié)束了這盲目信任證書頒發(fā)機(jī)構(gòu)的時代。

問題：你如何去檢查是否有指向你域名的偽造證書被發(fā)行給他人，甚至是被攻擊者所利用？

答案：證書透明度Certificate Transparency項目，它的目標(biāo)是提供一個開放的審計和監(jiān)控系統(tǒng)，可以讓任何域名所有者或者證書頒發(fā)機(jī)構(gòu)確定證書是否被錯誤簽發(fā)或者被惡意使用，從而提高 HTTPS 網(wǎng)站的安全性。

在2013年，谷歌發(fā)起了一個針對全行業(yè)的倡議，名為證書透明度Certificate Transparency，這是一個開源項目，用于記錄，審計和監(jiān)控證書頒發(fā)機(jī)構(gòu)所頒發(fā)的數(shù)字證書。

什么是證書透明度系統(tǒng)？

證書透明度項目包括三部分：

證書日志

證書監(jiān)視

證書審計

證書透明度項目要求證書頒發(fā)機(jī)構(gòu)公開地宣布其頒發(fā)的每一個數(shù)字證書(將其記錄到證書日志中)。證書日志提供給用戶一個查找某個給定域名頒發(fā)的所有數(shù)字證書的途徑。

值得注意的是，證書透明度模型并沒有替代傳統(tǒng)的以證書頒發(fā)機(jī)構(gòu)為基礎(chǔ)的鑒定驗證程序，它只是提供給你一個途徑，讓你可以確保你的證書是獨一無二的。

證書日志有3個優(yōu)點：

僅允許附加：證書記錄只能被添加，而不能被刪除，修改，或者追溯地將數(shù)據(jù)插入日志。

加密可靠：證書日志使用知名的 “Merkle Tree Hashes” 加密機(jī)制來防止被篡改。

公開審計：任何人都可以查詢?nèi)罩?，或者驗證頒發(fā)的數(shù)字證書是否已經(jīng)被合理地記錄在了日志之中。

在證書透明度項目中，每個數(shù)字證書都包含一個證書時間戳，它可以證明數(shù)字證書在被頒發(fā)之前已經(jīng)被記錄到了日志之中。

谷歌，DigiCert、賽門鐵克和一些證書頒發(fā)機(jī)構(gòu)目前管理著這些公開日志。

雖然證書透明度不能阻止證書頒發(fā)機(jī)構(gòu)頒發(fā)偽造的數(shù)字證書，但是它可以讓我們更容易地發(fā)現(xiàn)它們。

證書透明度將讓人們可以快速地識別出被錯誤地或者惡意地頒發(fā)的數(shù)字證書，以此來緩解可能會出現(xiàn)的安全問題，例如中間人攻擊。

今年早些時候，證書透明度系統(tǒng)和監(jiān)控服務(wù)幫助 facebook 安全團(tuán)隊提前檢測到了多個 fb.com 子域的偽造證書。

在另一篇文章中，我詳細(xì)介紹了 facebook 所提供的證書透明度監(jiān)控服務(wù)，它可以自動而快捷地發(fā)現(xiàn) SSL 證書的問題。

Facebook 已經(jīng)向 The Hacker News (THN) 證實，在未來幾個月會把試驗性的證書透明度監(jiān)控服務(wù)免費提供給更多的社區(qū)。

證書透明度搜索工具

聽起來很有趣？

Comodo 已經(jīng)推出了一款證書透明度搜索工具，它可以列出給定域名所有頒發(fā)的證書。或者，你也可以去試試谷歌的證書透明度查詢工具，它可以在目前公開的證書透明度日志中查詢?nèi)我庖粋€給定的域名的所有頒發(fā)證書。

以上就是怎樣應(yīng)對偽造的SSL證書，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。