随着网络犯罪分子越来越多地利用数字证书来破坏安全,最有影响力的证书权威机构已经联合起来,试图作为一个行业组织提倡安全最佳实践。
[也:赛门铁克SSL证书采用比rsa位密钥难破解10K的加密技术]
他们新创建的组织被称为证书权威安全理事会(CASC),成员包括Comodo、DigiCert、Entrust、GlobalSign、GoDaddy、赛门铁克和趋势科技,它们几乎构成了当今整个公共数字证书市场。
院长Coclin
赛门铁克业务发展总监迪恩·科克林(Dean Coclin)是指导委员会成员,他表示,目的是倡导如何使用SSL证书“实现最大效益”。但该组织承认,它无法避免解决令人不快的现实,如网络罪犯也试图破坏数字证书,以获得最大利益。
一个恰当的例子是本周由安全供应商Bit9承认黑客从它的网络上窃取了数字代码签名证书在系统中投放恶意软件它的三个客户。
Bit9首席执行官帕特里克•莫雷(Patrick Morley)在一篇博客文章中承认,Bit9未能遵循自己的最佳做法,确保自己的产品安装在所有物理和虚拟机上。Bit9生产锁定电脑的软件。攻击者设法闯入Bit9网络,窃取数字代码签名证书,然后用这些证书对恶意软件进行签名,并将其安装到三位Bit9客户身上。Bit9表示,作为清理运营的一部分,它撤销了这些证书,并获得了新的证书。该公司还表示,它正在“监控Bit9软件声誉服务,以获取来自非法签名恶意软件的哈希值。”
出现这种严重问题的部分原因是代码签名证书可以移动,一种想法是使用基于云的代码签名证书服务,在该服务中,证书在维护审计跟踪时只使用一次。Coclin说除了微软窗户这种基于云计算的服务目前还不存在,但将来很可能会出现。
在今天的发布会上,中国航天科技集团公司正式高举旗帜,倡导所谓的“OCSP装订,它是在线证书状态协议(Online Certificate Status Protocol)的替代方案,用于检查X.509数字证书的撤销。
瑞安·赫斯特(Ryan Hurst)是GlobalSign的首席技术官,也是中国航天科技集团公司(CASC)的一名成员,他认为这是建立网站的一种方法服务器,而不是访问者的浏览器,启动并完成检查网站证书有效性的过程。他说,目标是提高SSL性能。
除了这种类型的技术建议,CASC还计划通过在线发帖和会议演示面向公众,特别是Web服务器管理员、软件供应商、浏览器开发人员和最终用户的教育会议。
Ellen Messmer是国际数据集团(IDG)旗下出版物和网站N有个足球雷竞技appetwork World的高级编辑,主要报道与信息安全相关的新闻和技术趋势。推特: MessmerE。电子邮件:emessmer@nww.com.