提升數字證書知識 秒破僞造SSL證書
下個月又到了3.15,又到了一個打假的大日子。日常生活中,人民最常見的有假鈔、假廣告、假生活用品等等,對於這些假東西我們早已習以爲常。然而,假東西已經蔓延到網絡世界,甚至是信息安全行業,嚴重威脅到網絡安全,其中網絡加密協議SSL證書就是其中之一。
前兩年,谷歌發現賽門鐵克在 Google 不知情下爲 Google 域名頒發了有效期一天的預簽證書。這樣的事情已經不是第一次發生了,部分CA的權利被濫用或者是錯誤地被用於發佈僞造的數字證書,這樣的舉動使數百萬互聯網用戶的隱私處於危險之中。
2011年3月,一名******了Comodo公司,偷走了七個Web域共9個數字證書,包括:mail.google.com、addons.mozilla.org和login.yahoo.com 等。在同一年,荷蘭的CA機構DigiNotar同樣遭到了******,頒發了大量的僞造證書。由於這些僞造證書,數百萬用戶遭到了中間人***。例如斯諾登泄露的文件中透露:美國國家安全局就利用一些CA頒發的僞造SSL證書,截取和破解了大量HTTPS加密網絡會話。
以上事件敲響了從事信息安全服務商的警鐘。爲了防止盜取SSL證書再次發生,網絡安全的專家們紛紛獻策。其中谷歌發起了這一名爲證書透明度(Certificate Transparency,簡稱CT)的項目。這一項目的目標是提供一個開放的審計和監控系統,可以讓任何域名所有者或者CA確定證書是否被錯誤簽發或者被惡意使用,從而提高 HTTPS 網站的安全性。
Certificate Transparency項目包括三部分:
1.證書日誌
2.證書監視
3.證書審計
Certificate Transparency項目要求證書頒發機構公開地宣佈其頒發的每一個數字證書(將其記錄到證書日誌中)。證書日誌提供給用戶一個查找某個給定域名頒發的所有數字證書的途徑。值得注意的是,Certificate Transparency模型並沒有替代傳統的以證書頒發機構爲基礎的鑑定驗證程序,它只是提供給你一個途徑,讓你可以確保你的證書是獨一無二的。
證書日誌有3個優點:
1.僅允許附加:證書記錄只能被添加,而不能被刪除,修改,或者追溯地將數據插入日誌。
2.加密可靠:證書日誌使用知名的“Merkle Tree Hashes”加密機制來防止被篡改。
3.公開審計:任何人都可以查詢日誌,或者驗證頒發的數字證書是否已經被合理地記錄在了日誌之中。