安全证书设计用于对主机进行身份验证。浏览器已经很好地理解了权限链,当网站无法证明权限链来验证他们的身份时,用户就会接受这种风险。
然而,伪装成合法网站的网站会使用一些小伎俩,比如在看似正式的钓鱼邮件中嵌入“punycode”-URL链接。这些花招是恶意的。也有一些网站应该管理得很好,但却没有。
还有一些网站,一些重要的网站,通过像美国国土安全部(DHS)这样的地方表面上颁发的证书来搞砸自己的安全。
我的例子是a解释美国安全法案的网站。该法案提到了对经认证为反恐保护的产品或服务提供法律责任保护的做法。
在写这篇文章的时候,任何合法的浏览器都会阻止你访问该站点,并警告你不存在由SSL/TLS保护的检查站点所需的权限链。这个网站是不可信的。
快速旅行DigiCert的SSL测试站点目前显示该证书不是由受信任的权威机构签署的,尽管由DHS管理的证书的其余部分在其实现中是正确的。
我不知道是国土安全部还是承包商启用了这个站点。我不知道是谁写的网站或谈判它的DNS列表。我不知道网站内容的作者。
我做要知道,如果有人测试了它,他们应该立即知道网站存在信任问题,并报告给该问题的突出解决者。如果没有经过测试,我也不会感到惊讶。
在一个不经常自动测试安全基础设施真实性的国家里,作为一名安全研究人员,我会感到很尴尬,因为这样的测试会成为一个超级危险的信号。
我感到很尴尬,三周前我第一次发现这个问题,到今天还没有解决。
警卫室里有人醒着吗?