精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

國(guó)內(nèi)CA機(jī)構(gòu)沃通錯(cuò)誤頒發(fā)GitHub域名SSL證書(shū)

責(zé)任編輯:editor005

作者:Sphinx

2016-09-01 15:13:00

摘自:FreeBuf.COM

國(guó)內(nèi)CA機(jī)構(gòu)沃通被爆在沒(méi)有審核域名歸屬的情況下,給申請(qǐng)者頒發(fā)了一張GitHub根域名的SSL證書(shū)。沃通(WoSign) 是一家國(guó)內(nèi)的證書(shū)簽發(fā)機(jī)構(gòu),公司自稱(chēng)是中國(guó)最大的國(guó)產(chǎn)品牌數(shù)字證書(shū)頒發(fā)機(jī)構(gòu),中國(guó)市場(chǎng)占有率超過(guò)70%,擁有全球信任的頂級(jí)根證書(shū)。

國(guó)內(nèi)CA機(jī)構(gòu)沃通被爆在沒(méi)有審核域名歸屬的情況下,給申請(qǐng)者頒發(fā)了一張GitHub根域名的SSL證書(shū)。

事件經(jīng)過(guò)

傳統(tǒng)的電子證書(shū)管理系統(tǒng)其實(shí)是互聯(lián)網(wǎng)上最薄弱的一環(huán),用戶們盲目相信全球的CA機(jī)構(gòu)能夠保護(hù)他們的機(jī)密和個(gè)人信息的完整性。但是,這些證書(shū)機(jī)構(gòu)能夠?yàn)槿魏文闼鶕碛械挠蛎C發(fā)合法的SSL證書(shū),也不會(huì)管你有沒(méi)有在其他的證書(shū)機(jī)構(gòu)購(gòu)買(mǎi)過(guò)。這是CA系統(tǒng)中最大的漏洞。而最近的這起事件中,沃通在沒(méi)有審核域名歸屬的情況下,就為某申請(qǐng)者頒發(fā)了一張SSL證書(shū)。

沃通(WoSign) 是一家國(guó)內(nèi)的證書(shū)簽發(fā)機(jī)構(gòu),公司自稱(chēng)是中國(guó)最大的國(guó)產(chǎn)品牌數(shù)字證書(shū)頒發(fā)機(jī)構(gòu),中國(guó)市場(chǎng)占有率超過(guò)70%,擁有全球信任的頂級(jí)根證書(shū)。

這起事件由英國(guó)的Mozilla程序員Gervase Markham發(fā)布在Mozilla的安全政策郵箱列表里,據(jù)他說(shuō),這樣的情況從2015年7月就開(kāi)始了,他一直沒(méi)有上報(bào)。

Markham在郵件列表里稱(chēng),2015年6月,有申請(qǐng)者發(fā)現(xiàn)沃通免費(fèi)證書(shū)服務(wù)存在問(wèn)題,只要申請(qǐng)者證明他們擁有子域名,沃通就會(huì)給他們頒發(fā)根域的證書(shū)。這名申請(qǐng)者本來(lái)是想要申請(qǐng)一張’med.ucf.edu’的證書(shū),不小心寫(xiě)成了,’www.ucf.edu‘,結(jié)果沃通居然同意了,頒發(fā)了一張根域名的證書(shū)給他。

為了進(jìn)一步測(cè)試,研究人員用同樣的方法針對(duì)Github的根域名實(shí)施了欺騙,眾所周知,GitHub是可以支持用戶創(chuàng)建自己的{username}.github.io子域名的。因此,當(dāng)申請(qǐng)者證明自己有子域控制權(quán)后,沃通同樣分發(fā)了GitHub根域名的證書(shū)。

研究人員向沃通報(bào)告了這個(gè)情況,并以GitHub為例,結(jié)果沃通只是吊銷(xiāo)了GitHub的證書(shū)。之所以只吊銷(xiāo)了一個(gè)證書(shū),可能是因?yàn)槲滞](méi)有能力再去一個(gè)一個(gè)追蹤所有誤發(fā)的根證書(shū)。研究人員最近聯(lián)系上了Google,并且報(bào)告了ucf.edu證書(shū)一年之后還沒(méi)有被吊銷(xiāo)的問(wèn)題。

防御方法

證書(shū)是一家網(wǎng)站與訪客建立安全通信的渠道,證書(shū)遭到泄露,會(huì)危及用戶安全造成嚴(yán)重后果。攻擊者可以利用虛假證書(shū)進(jìn)行中間人攻擊從而劫持用戶。

實(shí)際上為了防止這類(lèi)事件的發(fā)生,有一個(gè)公共服務(wù)機(jī)制叫做證書(shū)透明,這個(gè)機(jī)制能夠讓個(gè)人用戶和公司檢查他們的域名一共被簽發(fā)了多少?gòu)堊C書(shū)。

證書(shū)透明就是讓證書(shū)機(jī)構(gòu)們公開(kāi)他們所發(fā)布的每一張證書(shū)。實(shí)際上沃通也參加了這個(gè)機(jī)制。

雖然這個(gè)機(jī)制不能防止CA頒發(fā)假的證書(shū),但是它能夠使得偽造證書(shū)的檢測(cè)更加方便。目前,Google,賽門(mén)鐵克、DigiCert等CA都在參與維護(hù)公共證書(shū)透明日志。

你可以使用Google或Comodo的證書(shū)透明查詢工具查詢你的域名下所有的證書(shū)。

*參考來(lái)源:THN,F(xiàn)B小編Sphinx編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 武威市| 昌平区| 东山县| 南汇区| 永川市| 北辰区| 尼木县| 芜湖市| 河曲县| 梁河县| 棋牌| 钟祥市| 江北区| 黄陵县| 陕西省| 高尔夫| 大厂| 牙克石市| 东台市| 金塔县| 即墨市| 沧州市| 镇康县| 平湖市| 石棉县| 临西县| 阜阳市| 黑水县| 于田县| 东台市| 来凤县| 米林县| 科尔| 兴隆县| 广灵县| 车致| 西昌市| 邹平县| 东乌| 紫阳县| 开化县|