信任问题:了解SSL证书的限制

并非所有的SSL证书都是一样创建的,而web浏览器无法清楚地显示您实际获得的安全性,从而使情况变得更糟

贡献者,信息世界 |

信任问题:了解SSL证书的限制
思想库

最近,认证机构(CAs)给自己打了个败仗,让用户很难信任他们。谷歌不再信任赛门铁克在发现CA多年来错误颁发了数千份证书后,研究人员发现钓鱼网站正在使用由Linux基金会的“让我们加密CA”颁发的paypal标签证书.即使有这些失误,ca在建立互联网上的信任方面也发挥着关键作用。

ca颁发不同类型的证书,每种类型处理不同的互联网安全用例。以下是您需要了解的关于证书和在线信任的内容,以便您了解http背后发生的事情——尤其是现在免费的证书认证使得获得证书变得非常容易

证书颁发机构如何失去您的信任

由Linux基金会互联网安全研究小组运营的免费CA“让我们加密”(Let 's Encrypt)正因发布了15270份域名或证书标识中含有“PayPal”字样的证书而遭受重创。研究人员和加密专家Vincent Lynch说,使用这些证书的网站不是PayPal的属性,而且几乎所有(97%)的域名都托管了钓鱼网页。

今年早些时候,一名研究人员发现了数百份赛门铁克颁发的证书存在问题,促使谷歌进行了自己的调查。在发现赛门铁克允许其他方访问其证书基础设施并没有充分监督这一过程后,谷歌Chrome开发人员表示,他们“不再对赛门铁克过去几年的证书颁发政策和实践有信心”。赛门铁克已承诺重新签发其所有传输层安全(TLS)证书,以符合谷歌的新有效期要求。

这只是两个例子。在过去的几年里,其他核证机关的一些失误导致了目前对其可信度的怀疑。

不同的证书到底意味着什么

域名所有者决定获取TLS/SSL证书的原因有很多,但最常见的原因是为用户提供一种方法来验证站点是真实的,所有者是合法的。另一个原因是,在监视、跟踪和窃听猖獗的今天,人们对加密从用户的电脑或移动设备和承载应用程序的web服务器传输的所有流量越来越感兴趣。

这是获取证书的两个截然不同的原因,但两者都依赖于HTTPS。网络安全公司High-Tech Bridge的首席执行官伊利亚·科洛琴科(Ilia Kolochenko)表示,对HTTPS的依赖使得域名所有者和互联网用户很容易将两者混为一谈,从而在信任问题之外引发了进一步的困惑。“我们应该把HTTP流量加密和网站身份验证问题分开。

证书主要有三种类型:

  • 域验证(DV)证书会根据域注册表进行检查,但不需要任何识别信息来证明所有者就是它所说的那个人。DV证书所做的就是告诉访问者他们认为正在访问的域名与证书中列出的域名相匹配。这让域名所有者被欺骗,尽管网站有证书。
  • 扩展验证(EV)证书告诉访问者他们正在访问的域的所有者已经经过验证,并且是真正的所有者。为了获得EV证书,请求者提供验证身份的信息,这使得获取欺诈性证书变得更加困难(尽管不是不可能)。
  • 组织验证(OV)证书也验证身份,但它们比EV证书需要更少的信息,因此它们更容易欺骗性地获得。然而,它们不像EV证书那样常见。

如果主要目标是验证网站的真实性,那么网站应该有EV或OV证书。这样,用户就知道CA已经收到了申请证书的实体是合法所有者的证明。

用户不需要查看实际证书就可以知道网站使用的是EV或OV证书,因为浏览器的地址栏会在挂锁旁边显示域名所有者的名字。例如,对于PayPal,在大多数浏览器中,你会看到关闭的挂锁图标和“PayPal, Inc. [US]”字样,然后是带有HTTPS前缀的实际PayPal URL。在Internet Explorer中,悬停在域名所有者的名称上方也会显示颁发证书的CA的名称。

相比之下,用户可以在大多数浏览器中判断一个网站是否只有DV证书,因为URL旁边的地址栏中有锁图标或“Secure”字样(同样带有HTTPS前缀)。但是,与EV和OV证书不同,您不会看到还列出了域所有者的名称。

浏览器安全指标 IDG

仔细查看四种主要桌面浏览器的地址栏,看看它们是如何表示SSL证书的。如果站点具有EV或OV证书,除了挂锁图标外,还会看到域所有者的名称。

如果主要目标是加密通信,那么站点使用何种证书类型并不重要——它们都为传输中的通信提供相同的加密。如果域名所有者不需要证明(通过价格较高的EV或OV证书)谁拥有该网站(因为没有财务信息或敏感用户信息共享),那么(更便宜的)DV证书就足够了。

重新信任证书

TLS/SSL证书有一个可用性问题,因为网络浏览器将所有HTTPS网站标记为安全的,并且用户已经被训练去寻找挂锁或“安全”这个词来确定网站的合法性。然而,那些挂锁或“安全”这个词只表明通信是加密的。上面没说车主已经通过认证了。一个网站可以被加密,但仍然不安全,因为所有者已经被钓鱼者或其他恶意力量欺骗。

Web浏览器在使证书信息更加可见方面做得很好,但是让我们打破对小挂锁的过度依赖。

在浏览器制造商修复他们如何指明哪些内容是真正安全的之前,用户所能做的就是寻找域名所有者的名字,让它与URL分开显示。这是网站所有者身份被确认的唯一线索。挂锁图标或"安全"这个词并不能告诉你。

但是,更好地显示哪些域名是经过验证的,而不是简单的加密,并不是行业需要采取的唯一步骤。它还需要提高和执行更好的标准,以供核证机关遵循。我们很容易对免费的CA吹毛求疵,但正如赛门铁克的案例所显示的那样,任何CA都可能出现草率、廉价的做法。只是免费的ca使犯罪分子更容易获得证书,这是使安全性更加普遍和易于使用的必然结果。

我不同意安全专家的说法,他们说免费和低成本的ca应该过滤我们的某些子串,以防止钓鱼网站欺骗流行品牌。这种方法使ca处于非常有利的地位,可以决定什么类型的内容可以上线,这是一个危险的先例。例如,PayPal不应该拥有子串的独家控制权;例如,不满的用户应该能够设置IHatePayPal.com

但该行业可以采取行动,提高信任水平。例如,拥有更好的证书透明度审计工具和反钓鱼过滤器将限制恶意网站可能造成的破坏。

这篇文章“信任问题:了解SSL证书的限制”最初是由信息世界

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

法赫米达·拉希德(Fahmida Y. Rashid)是一名自由撰稿人,为CSO撰稿,专注于信息安全。

版权©2017足球竞彩网下载

工资调查:结果在