设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

国内CA机构沃通错误颁发GitHub域名SSL证书

2016-8-31 13:36| 发布者: 随便、先森。| 查看: 1778| 评论: 0|来自: FreeBuf

摘要: 国内CA机构沃通被爆在没有审核域名归属的情况下,给申请者颁发了一张GitHub根域名的SSL证书。事件经过传统的电子证书管理系统其实是互联网上最薄弱的一环,用户们盲目相信全球的CA机构能够保护他们的机密和个人信息 ...

国内CA机构沃通被爆在没有审核域名归属的情况下,给申请者颁发了一张GitHub根域名的SSL证书

事件经过

传统的电子证书管理系统其实是互联网上最薄弱的一环,用户们盲目相信全球的CA机构能够保护他们的机密和个人信息的完整性。但是,这些证书机构能够为任何你所拥有的域名颁发合法的SSL证书,也不会管你有没有在其他的证书机构购买过。这是CA系统中最大的漏洞。而最近的这起事件中,沃通在没有审核域名归属的情况下,就为某申请者颁发了一张SSL证书。

沃通(WoSign) 是一家国内的证书签发机构,公司自称是中国最大的国产品牌数字证书颁发机构,中国市场占有率超过70%,拥有全球信任的顶级根证书。

这起事件由英国的Mozilla程序员Gervase Markham发布在Mozilla的安全政策邮箱列表里,据他说,这样的情况从2015年7月就开始了,他一直没有上报。

Markham在邮件列表里称,2015年6月,有申请者发现沃通免费证书服务存在问题,只要申请者证明他们拥有子域名,沃通就会给他们颁发根域的证书。这名申请者本来是想要申请一张’med.ucf.edu’的证书,不小心写成了,’www.ucf.edu‘,结果沃通居然同意了,颁发了一张根域名的证书给他。

为了进一步测试,研究人员用同样的方法针对Github的根域名实施了欺骗,众所周知,GitHub是可以支持用户创建自己的{username}.github.io子域名的。因此,当申请者证明自己有子域控制权后,沃通同样分发了GitHub根域名的证书。

研究人员向沃通报告了这个情况,并以GitHub为例,结果沃通只是吊销了GitHub的证书。之所以只吊销了一个证书,可能是因为沃通没有能力再去一个一个追踪所有误发的根证书。研究人员最近联系上了Google,并且报告了ucf.edu证书一年之后还没有被吊销的问题。

防御方法

证书是一家网站与访客建立安全通信的渠道,证书遭到泄露,会危及用户安全造成严重后果。攻击者可以利用虚假证书进行中间人攻击从而劫持用户。

实际上为了防止这类事件的发生,有一个公共服务机制叫做证书透明,这个机制能够让个人用户和公司检查他们的域名一共被签发了多少张证书。

证书透明就是让证书机构们公开他们所发布的每一张证书。实际上沃通也参加了这个机制。

虽然这个机制不能防止CA颁发假的证书,但是它能够使得伪造证书的检测更加方便。目前,Google,赛门铁克、DigiCert等CA都在参与维护公共证书透明日志

你可以使用GoogleComodo的证书透明查询工具查询你的域名下所有的证书。

*参考来源:THN,FB小编Sphinx编译


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
分享个ddos网页端反射攻击的API源码
分享个ddos网页端反
先上图 实测源码没问题 API服务器需要安装SSH2扩展库 其他的按照源码里的注释配置
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
返回顶部