证书颁发机构信任违规暴露了Internet信任层次结构中的漏洞

[ware_item id=33][/ware_item]

证书颁发机构信任违规暴露了Internet信任层次结构中的漏洞


2015年3月下旬,发生重大安全漏洞,涉及冒充Google的未经授权的数字证书。此事件对普通人如何决定对Internet的信任程度具有深远的影响.

在这篇文章中,我们将尝试解释为什么这对像您这样的最终用户很重要.

简而言之发生了什么

Google检测到针对Google域的SSL证书的高质量伪造。这些伪造品是如此之好,以至于它们可以欺骗大多数浏览器,从而可能使攻击者冒充Google和其他域,甚至可能诱使用户泄露密码。幸运的是,伪造品仅存在于封闭测试环境中.

由于采取了严格的程序来验证证书持有者的身份,因此即使在测试环境中,也几乎不可能发行这种伪造的数字证书。因此,发生这种情况非常重要,这意味着它可以再次发生,并且对于其他组织来说,它可能以前曾经发生过,但未被注意到.

Google的回应是更新其Google Chrome浏览器,使其不再信任所涉及的特定证书颁发机构(称为CNNIC);将从其产品中删除CNNIC的根证书。 Mozilla(Firefox的创建者)将不信任所有新的CNNIC证书,直到CNNIC成功重新申请将其包含在其根存储中.

刷新:这是当您使用有效的SSL证书访问网站时发生的情况

深入了解当我们使用https进入网站并且浏览器向我们显示一个绿色的对勾或表示该网站安全的锁时,会发生什么情况.

  1. 您在网络浏览器中输入https://www.google.com.
  2. 您的网络浏览器访问一个称为DNS的公共目录,以查找与Google.com联系时应使用的IP地址.
  3. 您的Web浏览器使用从DNS接收到的IP地址与服务器联系。.
  4. 服务器以SSL证书响应.
  5. 您的Web浏览器使用此SSL证书来实现两件非常重要的事情:
    1. 它确认服务器的身份。在这种情况下,它确认服务器确实由Google运行;和
    2. 它建立了一个加密的通信通道,以便对在浏览器和服务器之间发送的数据进行加密。在网络上收听的任何人都可以看到您正在与Google通讯,但无法查看通讯内容.

如果SSL证书有效,您的浏览器将显示熟悉的绿色复选标记或地址栏上的锁定.

啊,绿色的锁。啊,绿锁.

但是,如果攻击者设法诱骗我的浏览器联系假服务器,则您的浏览器会注意到SSL证书是 无效, 它会向您显示安全警告.

当SSL证书是高品质的伪造品时,会发生以下情况(提示:您的浏览器不会注意到)

这就是Google宣布如此重要的原因:MCI Holdings设法为Google创建了虚假的SSL证书,这种证书是如此现实,以至于可以欺骗大多数网络浏览器,使他们认为虚假服务器上的网站实际上就是Google。理想情况下,这永远不会发生。但是,当这样做时,它将是这样的:

  1. 您在浏览器中输入https://www.google.com.
  2. 攻击者会诱骗您的DNS服务器为google.com提供错误的IP地址。他们可以通过利用家用路由器,网络中的其他路由器,DNS服务器本身(通常由ISP运行)中的错误来进行此操作。.
  3. 您的网络浏览器联系了假服务器.
  4. 伪造的服务器以伪造的SSL证书作为响应。但是,证书是高质量的伪造品,您的浏览器认为它是有效的.
  5. 您的浏览器将显示绿色的选中标记或锁定在地址栏中.
    1. 如果SSL证书是高质量,不可检测的伪造品,您和您的浏览器就会认为它实际上是GMail ...如果SSL证书是高质量,不可检测的伪造品,您和您的浏览器就会认为它实际上是GMail…
  6. 您将Google用户名和密码输入到高质量的GMail克隆中,然后将其发送给攻击者,攻击者现在可以控制您的所有Google数据,包括您的电子邮件,文档,照片,联系人以及与您的Google帐户相关的任何其他内容.

Web浏览器如何确定SSL证书是否有效?

每个操作系统,智能手机和Web浏览器都预先安装了数十家公司或政府的列表,这些公司或政府将自动信任其数字签名,除非进行其他配置(稍后对此进行详细介绍)。这些受信任的公司称为证书颁发机构或CA,并且必须满足详细的条件才能成为该列表的一部分.

钥匙串访问系统根您可以通过转到Spotlight来访问它 > 钥匙串访问 > 系统根.

如果网站出示的证书是由任何这些受信任的证书颁发机构签名的,则网络浏览器会将其解释为“我看到了我已预先配置为信任的证书颁发机构的签名。它已经签署了该服务器的证书。这意味着它已经验证了该服务器背后的人员,并确认他们确实是他们声称的真实身份。因此,我也将信任此证书,并显示绿色的选中标记或将其锁定给我的用户。”

它有助于将证书颁发机构视为类似于颁发身份证明文件(如护照)的中央受信机构的机构。申请护照时,您需要带备证明文件,例如出生证明,驾驶执照和照片,而且您可能需要亲自办理,以便他们可以证明您是照片中的人。旅行时,请使用护照作为身份证件。政府,酒店和航空公司相信您是护照确认您的身份的人.

您可以将证书颁发机构视为类似于颁发护照的办公室,并且可以将数字证书视为网站的一种护照或身份证明文件。护照很难伪造,并且有有效期。同样,数字证书应该(理想情况下)难以伪造,并且还具有到期日期。过期后,护照和数字证书将失效.

我们不能认为我们的浏览器和计算机信任谁是理所当然的

您可能熟悉一些计算机自动自动配置为信任的证书颁发机构,例如Symantec和GoDaddy。但是您是否知道您的操作系统或浏览器可能包含诸如香港邮政局,荷兰的一个名为Staat der Nederlanden Root CA的组织以及世界各地的政府等众多组织的根证书? (如果您感到好奇,请参阅Firefox信任的组织列表).

风险是当其中一个证书颁发机构签署 伪造的 通过过失(似乎是CNNIC / MCS Holdings / Google崩溃所发生的事情)从模仿者获得的证书,甚至可能是恶意的.

是时候重新考虑我们在互联网上信任的人了吗?

Internet上的信任传递. 我们信任操作系统和Web浏览器的开发人员;我们相信像Google这样的公司可以在互联网上处理我们的数据;并且我们信任几个证书颁发机构来仔细验证各个网站的身份,并仅向其合法所有者颁发SSL证书.

伪造的Google证书的案例凸显了查看我们真正需要我们的浏览器信任的证书颁发机构的重要性. 根据您通常访问的网站,您实际依赖的证书颁发机构的集合可能比计算机上预先信任的证书颁发机构的集合小得多。.

您可以执行以下操作:

  1. 考虑禁用计算机上预先配置的某些根证书。例如,如果您通常不浏览荷兰的网站,则最好禁用浏览器当前可能设置为信任的“荷兰政府,PKIoverheid”权限。我们还建议禁用CNNIC的根证书.
  2. 考虑将Chrome设为您的默认浏览器,因为Google一直保持警惕并及时对信任违规行为做出响应.
  3. 关注诸如Google的证书透明度项目之类的项目,该项目正在创建技术解决方案以更快地通知伪造的证书。在未来的几个月和几年中,此类项目将创建插件并改进浏览器和操作系统,以解决其中的一些问题,但这些解决方案目前尚不完全可用。.
  4. 同时,请记住使用VPN。它可以防止攻击者尝试对您使用伪造的SSL证书的某​​些可能方式。例如,VPN使攻击者更难于篡改您的DNS结果.

进一步阅读:

什么是证书颁发机构 & 信任层次结构? | GlobalSign
Google的证书透明度项目

证书颁发机构信任违规暴露了Internet信任层次结构中的漏洞
admin Author
Sorry! The Author has not filled his profile.