var
来源:网络作者:vps发布时间:2016-06-15点击:3177
在当今的互联网中,站长们会通过安装SSL证书(服务器证书)来认证网站身份和进行流量加密,避免“钓鱼”网站和信息泄露的危害。SSL证书是由数字证书管理机构(简称CA)签发的,CA是一个受信任的第三方组织,负责发布和管理SSL证书。
全球有数百个受信任的CA,他们中的任何一个都有权利为你的网站域名颁发有效的SSL证书。但大部分人却不知道,百密一疏,部分CA系统可能存在漏洞,并导致一些伪造的SSL证书流入网络,威胁互联网的安全。
近年来的SSL证书伪造事件
去年,谷歌发现赛门铁克在Google不知情下为Google域名颁发了有效期一天的预签证书。这样的事情已经不是第一次发生了,部分CA的权利被滥用或者是错误地被用于发布伪造的数字证书,这样的举动使数百万互联网用户的隐私处于危险之中。
2011年3月,一名黑客入侵了Comodo公司,偷走了七个Web域共9个数字证书,包括:mail.google.com、addons.mozilla.org和login.yahoo.com等。在同一年,荷兰的CA机构DigiNotar同样遭到了黑客入侵,颁发了大量的伪造证书。由于这些伪造证书,数百万用户遭到了中间人攻击。例如斯诺登泄露的文件中透露:美国国家安全局就利用一些CA颁发的伪造SSL证书,截取和破解了大量HTTPS加密网络会话。
提高SSL证书的透明度
DigiNotar、Comodo、赛门铁克等公司的事件为我们敲响了警钟,也结束了人们盲目信任CA的时代。那么,你如何发现是否有指向你域名的伪造SSL证书被发行给他人,甚至是被攻击者所利用呢?
一个有效的方法就是CA要及时公开所签发证书的数据,也就是提高证书的透明度,让我们可以通过比对数据及时确定证书的真伪。于是在2013年,谷歌发起了这一名为证书透明度(Certificate Transparency,简称CT)的项目。这一项目的目标是提供一个开放的审计和监控系统,可以让任何域名所有者或者CA确定证书是否被错误签发或者被恶意使用,从而提高HTTPS网站的安全性。
CT项目要求CA公开其颁发的每一个数字证书的数据,并将其记录到证书日志中。值得注意的是,证书透明度项目并没有替代传统的以CA为基础的鉴定验证程序,它只是提供给你一个查询途径,让你可以确保你的证书是独一无二的。
证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书,以此来缓解可能会出现的安全问题,例如中间人攻击。今年早些时候,证书透明度系统和监控服务帮助facebook安全团队提前检测到了多个fb.com子域的伪造证书。
版权声明:本文系技术人员研究整理的智慧结晶,转载勿用于商业用途,并保留本文链接,侵权必究!