• <td id="yeskc"></td>
  • <li id="yeskc"></li>
  • <table id="yeskc"><li id="yeskc"></li></table><xmp id="yeskc"><li id="yeskc"></li>
    <li id="yeskc"></li>
  • <table id="yeskc"></table><td id="yeskc"><sup id="yeskc"></sup></td>
  • <table id="yeskc"></table>
  • <xmp id="yeskc">
  • <td id="yeskc"></td>
  • <td id="yeskc"></td>
    0431-85177688
    提高數字證書透明度 識破偽造SSL證書

    在當今的互聯網中,站長們會通過安裝SSL證書(服務器證書)來認證網站身份和進行流量加密,避免“釣魚”網站和信息泄露的危害。SSL證書是由數字證書管理機構(簡稱CA)簽發的,CA是一個受信任的第三方組織,負責發布和管理 SSL證書。

    全球有數百個受信任的CA,他們中的任何一個都有權利為你的網站域名頒發有效的SSL證書。但大部分人卻不知道,百密一疏,部分CA系統可能存在漏洞,并導致一些偽造的SSL證書流入網絡,威脅互聯網的安全。

    近年來的SSL證書偽造事件

    去年,谷歌發現賽門鐵克在 Google 不知情下為 Google 域名頒發了有效期一天的預簽證書。這樣的事情已經不是第一次發生了,部分CA的權利被濫用或者是錯誤地被用于發布偽造的數字證書,這樣的舉動使數百萬互聯網用戶的隱私處于危險之中。

    2011年3月,一名黑客入侵了Comodo公司,偷走了七個Web域共9個數字證書,包括:mail.google.com、addons.mozilla.org和login.yahoo.com 等。在同一年,荷蘭的CA機構DigiNotar同樣遭到了黑客入侵,頒發了大量的偽造證書。由于這些偽造證書,數百萬用戶遭到了中間人攻擊。例如斯諾登泄露的文件中透露:美國國家安全局就利用一些CA頒發的偽造SSL證書,截取和破解了大量HTTPS加密網絡會話。

    提高SSL證書的透明度

    DigiNotar、Comodo、賽門鐵克等公司的事件為我們敲響了警鐘,也結束了人們盲目信任CA的時代。那么,你如何發現是否有指向你域名的偽造SSL證書被發行給他人,甚至是被攻擊者所利用呢?

    一個有效的方法就是CA要及時公開所簽發證書的數據,也就是提高證書的透明度,讓我們可以通過比對數據及時確定證書的真偽。于是在2013年,谷歌發起了這一名為證書透明度(Certificate Transparency,簡稱CT)的項目。這一項目的目標是提供一個開放的審計和監控系統,可以讓任何域名所有者或者CA確定證書是否被錯誤簽發或者被惡意使用,從而提高 HTTPS 網站的安全性。

    注:加入證書透明度項目的SSL證書將獲得瀏覽器額外的信息佐證,可查看Certificate information(透明度信息)

    CT項目要求CA公開其頒發的每一個數字證書的數據,并將其記錄到證書日志中。值得注意的是,證書透明度項目并沒有替代傳統的以CA為基礎的鑒定驗證程序,它只是提供給你一個查詢途徑,讓你可以確保你的證書是獨一無二的。

    證書透明度將讓人們可以快速地識別出被錯誤或者惡意頒發的數字證書,以此來緩解可能會出現的安全問題,例如中間人攻擊。今年早些時候,證書透明度系統和監控服務幫助facebook安全團隊提前檢測到了多個fb.com子域的偽造證書。

    注:未公開透明度信息的SSL證書瀏覽器信息

    注:已公開透明度信息的SSL證書瀏覽器信息

    證書透明度項目在中國

    據悉,目前已有數家中國地區的CA正在籌備參與到證書透明度項目中,其中就有我國規模最大的數字證書管理機構中國金融融認證中心(CFCA)。CFCA SSL證書是目前唯一在中國境內自建全球服務器證書根證書系統并通過WebTrust國際安全審計認證,且得到所有主流操作系統信任,在PC端、手機端均可應用的國產證書。為了加入證書透明度項目,進一步提高SSL證書的安全性,CFCA在2016年伊始開始對其證書頒發系統進行改造、升級,以適應項目對證書系統的各項要求。

    注:CFCA EV SSL證書示例

    在正式加入證書透明度計劃后,CFCA頒發的所有EV證書將升級為EV CT證書。也就是這些證書的數據都將實時記錄到CT項目的證書日志中,任何人都可以通過在線工具查詢該日志,或者驗證頒發的證書是否已經被合理地記錄在日志之中。每個證書還會包含一個證書時間戳,它可以證明證書在被頒發之前已經被記錄到了日志之中。隨著CT項目在我國的不斷推進,國產SSL證書將逐步達到國際最高的安全水準。

    注:本文部分內容引自freebuf

    安信電子認證中心  版權所有(吉ICP備14004105號-1)
    12萝自慰喷水亚洲网站
  • <td id="yeskc"></td>
  • <li id="yeskc"></li>
  • <table id="yeskc"><li id="yeskc"></li></table><xmp id="yeskc"><li id="yeskc"></li>
    <li id="yeskc"></li>
  • <table id="yeskc"></table><td id="yeskc"><sup id="yeskc"></sup></td>
  • <table id="yeskc"></table>
  • <xmp id="yeskc">
  • <td id="yeskc"></td>
  • <td id="yeskc"></td>