最近,认证机构(CAs)给自己打了个败仗,让用户很难信任他们。谷歌停止了信任赛门铁克在发现CA后,多年来已经错误地发布了数千次证书,研究人员发现网络钓鱼网站正在使用由Linux基金会的“让我们加密CA”颁发的paypal标签证书.即使有这些失误,ca在建立互联网上的信任方面也发挥着关键作用。
ca颁发不同类型的证书,每种类型处理不同的互联网安全用例。以下是您需要了解的关于证书和在线信任的内容,以便您了解http背后发生的事情——尤其是现在免费的证书认证使得获得证书变得非常容易.
证书颁发机构如何失去您的信任
由Linux基金会互联网安全研究小组运营的免费CA“让我们加密”(Let 's Encrypt)正因发布了15270份域名或证书标识中含有“PayPal”字样的证书而遭受重创。研究人员和加密专家Vincent Lynch说,使用这些证书的网站不是PayPal的属性,而且几乎所有(97%)的域名都托管了钓鱼网页。
今年早些时候研究员发现了几百个赛门证书的问题,促使谷歌进行自己的调查。在发现Symantec允许其他缔约方访问其证书基础设施并没有充分监督过程,谷歌铬开发商表示,他们“在过去几年中不再对赛门铁克的证书颁发政策和实践有信心。”赛门铁克已承诺重新发出其所有运输层安全(TLS)证书以遵守谷歌的新有效期要求。
这只是两个例子。在过去的几年里,其他核证机关的一些失误导致了目前对其可信度的怀疑。
不同的证书实际上是什么意思
域名所有者决定获取TLS/SSL证书的原因有很多,但最常见的原因是为用户提供一种方法来验证站点是真实的,所有者是合法的。另一个原因是,在监视、跟踪和窃听猖獗的今天,人们对加密从用户的电脑或移动设备和承载应用程序的web服务器传输的所有流量越来越感兴趣。
这是获取证书的两个截然不同的原因,但两者都依赖于HTTPS。网络安全公司High-Tech Bridge的首席执行官伊利亚·科洛琴科(Ilia Kolochenko)表示,对HTTPS的依赖使得域名所有者和互联网用户很容易将两者混为一谈,从而在信任问题之外引发了进一步的困惑。“我们应该把HTTP流量加密和网站身份验证问题分开。
证书主要有三种类型:
- 域验证(DV)证书会根据域注册表进行检查,但不需要任何识别信息来证明所有者就是它所说的那个人。DV证书所做的就是告诉访问者他们认为正在访问的域名与证书中列出的域名相匹配。这让域名所有者被欺骗,尽管网站有证书。
- 扩展验证(EV)证书告诉访问者他们正在访问的域的所有者已经经过验证,并且是真正的所有者。为了获得EV证书,请求者提供验证身份的信息,这使得获取欺诈性证书变得更加困难(尽管不是不可能)。
- 组织验证(OV)证书也验证身份,但它们比EV证书需要更少的信息,因此它们更容易欺骗性地获得。然而,它们不像EV证书那样常见。
如果主要目标是验证网站的真实性,那么网站应该有EV或OV证书。这样,用户就知道CA已经收到了申请证书的实体是合法所有者的证明。
用户不需要查看实际证书以告诉网站正在使用EV或OV证书,因为浏览器的地址栏显示挂锁旁边的域所有者的名称。例如,对于PayPal,在大多数浏览器中,您将看到封闭的挂锁图标和单词“PayPal,Inc. [US],然后使用HTTPS前缀的实际PayPal URL。在Internet Explorer中,悬停在域所有者的名称上也显示了发出证书的CA的名称。
相比之下,如果站点只有DV证书,用户可以在大多数浏览器中讲述,因为存在挂锁图标或网址旁边的地址栏中的“安全”单词(再次与HTTPS前缀)。但是,您将不会看到域名所有者的名称也列出,正如您为EV和OV证书所做的那样。
德格
仔细查看四个主要桌面浏览器的地址栏,以查看它们是如何指示SSL证书的。如果站点具有EV或OV Cert,您将看到域名的名称除了挂锁图标之外。
如果主要目标是加密通信,那么站点使用何种证书类型并不重要——它们都为传输中的通信提供相同的加密。如果域名所有者不需要证明(通过价格较高的EV或OV证书)谁拥有该网站(因为没有财务信息或敏感用户信息共享),那么(更便宜的)DV证书就足够了。
重新信任证书
TLS / SSL证书具有可用性问题,因为Web浏览器将所有HTTPS网站标记为安全,用户已培训,以查找挂锁或“安全”单词以确定该网站的合法性。然而,所有那些挂锁或单词“安全”都表明是通信是加密的。它没有说所有者已被验证。网站可以加密,并且仍然不安全,因为所有者被PhiSher或其他恶毒力量欺骗了。
Web浏览器已经做了很大的工作,使证书信息更加明显 - 但让我们打破小挂锁的过度增长。
直到浏览器制造商修复了它们如何表明实际安全的内容,所有用户都可以查看域所有者的名称,以与URL分开显示。这是网站所有者身份证实的唯一线索。挂锁图标或“安全”这个词不会告诉你。
但更好地显示了哪个域被验证,而不是简单加密,不是行业需要采取的唯一步骤。它还需要提高和强制解决CAS的更好标准。随着赛门铁克的情况表明,它很容易擦拭自由的抹布,但邋and,廉价的实践可能会发生在任何CA上。这只是一个免费的CAS让犯罪分子更容易获得证书,这是一种不可避免的导致安全更普遍且易于使用的结果。
我不同意,安全专家,他说自由和低成本的CA应该过滤我们的某些子统一,以防止网络钓鱼地点欺骗流行品牌。这样的方法将CAS放在一个非常强大的位置,决定什么样的内容可以在线上网,这是一个危险的先例。例如,PayPal不应具有对子字符串的独家控制;例如,不满意的用户应该能够设置ihatepaypal.com.
但该行业可以采取行动,提高信任水平。例如,拥有更好的证书透明度审计工具和反钓鱼过滤器将限制恶意网站可能造成的破坏。
这个故事,“信任问题:了解SSL证书的极限”最初发布信息世界 .