國(guó)內(nèi)CA機(jī)構(gòu)沃通被爆在沒(méi)有審核域名歸屬的情況下,給申請(qǐng)者頒發(fā)了一張GitHub根域名的SSL證書(shū)。
事件經(jīng)過(guò)
傳統(tǒng)的電子證書(shū)管理系統(tǒng)其實(shí)是互聯(lián)網(wǎng)上最薄弱的一環(huán),用戶們盲目相信全球的CA機(jī)構(gòu)能夠保護(hù)他們的機(jī)密和個(gè)人信息的完整性。但是,這些證書(shū)機(jī)構(gòu)能夠?yàn)槿魏文闼鶕碛械挠蛎C發(fā)合法的SSL證書(shū),也不會(huì)管你有沒(méi)有在其他的證書(shū)機(jī)構(gòu)購(gòu)買(mǎi)過(guò)。這是CA系統(tǒng)中最大的漏洞。而最近的這起事件中,沃通在沒(méi)有審核域名歸屬的情況下,就為某申請(qǐng)者頒發(fā)了一張SSL證書(shū)。
沃通(WoSign) 是一家國(guó)內(nèi)的證書(shū)簽發(fā)機(jī)構(gòu),公司自稱(chēng)是中國(guó)最大的國(guó)產(chǎn)品牌數(shù)字證書(shū)頒發(fā)機(jī)構(gòu),中國(guó)市場(chǎng)占有率超過(guò)70%,擁有全球信任的頂級(jí)根證書(shū)。
這起事件由英國(guó)的Mozilla程序員Gervase Markham發(fā)布在Mozilla的安全政策郵箱列表里,據(jù)他說(shuō),這樣的情況從2015年7月就開(kāi)始了,他一直沒(méi)有上報(bào)。
Markham在郵件列表里稱(chēng),2015年6月,有申請(qǐng)者發(fā)現(xiàn)沃通免費(fèi)證書(shū)服務(wù)存在問(wèn)題,只要申請(qǐng)者證明他們擁有子域名,沃通就會(huì)給他們頒發(fā)根域的證書(shū)。這名申請(qǐng)者本來(lái)是想要申請(qǐng)一張’med.ucf.edu’的證書(shū),不小心寫(xiě)成了,’www.ucf.edu‘,結(jié)果沃通居然同意了,頒發(fā)了一張根域名的證書(shū)給他。
為了進(jìn)一步測(cè)試,研究人員用同樣的方法針對(duì)Github的根域名實(shí)施了欺騙,眾所周知,GitHub是可以支持用戶創(chuàng)建自己的{username}.github.io子域名的。因此,當(dāng)申請(qǐng)者證明自己有子域控制權(quán)后,沃通同樣分發(fā)了GitHub根域名的證書(shū)。
研究人員向沃通報(bào)告了這個(gè)情況,并以GitHub為例,結(jié)果沃通只是吊銷(xiāo)了GitHub的證書(shū)。之所以只吊銷(xiāo)了一個(gè)證書(shū),可能是因?yàn)槲滞](méi)有能力再去一個(gè)一個(gè)追蹤所有誤發(fā)的根證書(shū)。研究人員最近聯(lián)系上了Google,并且報(bào)告了ucf.edu證書(shū)一年之后還沒(méi)有被吊銷(xiāo)的問(wèn)題。
防御方法
證書(shū)是一家網(wǎng)站與訪客建立安全通信的渠道,證書(shū)遭到泄露,會(huì)危及用戶安全造成嚴(yán)重后果。攻擊者可以利用虛假證書(shū)進(jìn)行中間人攻擊從而劫持用戶。
實(shí)際上為了防止這類(lèi)事件的發(fā)生,有一個(gè)公共服務(wù)機(jī)制叫做證書(shū)透明,這個(gè)機(jī)制能夠讓個(gè)人用戶和公司檢查他們的域名一共被簽發(fā)了多少?gòu)堊C書(shū)。
證書(shū)透明就是讓證書(shū)機(jī)構(gòu)們公開(kāi)他們所發(fā)布的每一張證書(shū)。實(shí)際上沃通也參加了這個(gè)機(jī)制。
雖然這個(gè)機(jī)制不能防止CA頒發(fā)假的證書(shū),但是它能夠使得偽造證書(shū)的檢測(cè)更加方便。目前,Google,賽門(mén)鐵克、DigiCert等CA都在參與維護(hù)公共證書(shū)透明日志。
你可以使用Google或Comodo的證書(shū)透明查詢工具查詢你的域名下所有的證書(shū)。
*參考來(lái)源:THN,F(xiàn)B小編Sphinx編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM