關(guān)注:企業(yè)應(yīng)該如何防范HTTPS偽造證書
責(zé)編:admin |2015-01-13 17:11:33Michael Cobb是認(rèn)證信息系統(tǒng)安全架構(gòu)專家(CISSP-ISSAP),知名的安全作家,具有十多年豐富的IT行業(yè)經(jīng)驗(yàn),并且還從事過(guò)十六年的金融行業(yè)。他是 Cobweb Applications公司的創(chuàng)始人兼常務(wù)董事,該公司主要提供IT培訓(xùn),以及數(shù)據(jù)安全和分析的支持。Michael還合著過(guò)IIS Security一書,并為領(lǐng)先的IT出版物撰寫過(guò)無(wú)數(shù)科技文章。此外,Michael還是微軟認(rèn)證數(shù)據(jù)庫(kù)系統(tǒng)管理員和微軟認(rèn)證專家。
最近未經(jīng)授權(quán)的HTTPS證書成為熱門新聞話題,其中有些證書還是來(lái)自已熟知/理應(yīng)可信的供應(yīng)商的根存儲(chǔ)。那么,企業(yè)應(yīng)該如何防范這些偽造證書?
Michael Cobb:互聯(lián)網(wǎng)的安全性在很大程度上依賴于對(duì)證書頒發(fā)機(jī)構(gòu)(CA)的信任,CA頒發(fā)數(shù)字證書以供Web服務(wù)器用于識(shí)別自己和加密服務(wù)器及用戶之間的流量。這些證書可以防止攻擊者偽造網(wǎng)站或者竊聽(tīng)發(fā)送到和發(fā)送自網(wǎng)站的通信。
不幸的是,這種信任正在被破壞,因?yàn)橐幌盗嗅槍?duì)CA(例如DigiNotar和Comodo)的攻擊以及ANSSI情況中的糟糕做法—這導(dǎo)致頒發(fā)欺詐性或未經(jīng)授權(quán)數(shù)字證書。偽造證書允許攻擊者窺視Web服務(wù)器和瀏覽器之間發(fā)送的信息,即使這種連接似乎很安全。他們還可以用來(lái)欺騙內(nèi)容以及執(zhí)行網(wǎng)絡(luò)釣魚或中間人攻擊。在最近的事件中,在CA印度國(guó)家信息中心(NIC)的證書發(fā)布過(guò)程受到攻擊后,對(duì)很多谷歌的域名發(fā)出了未經(jīng)授權(quán)數(shù)字證書。
NIC持有幾個(gè)中間CA證書受印度政府的核準(zhǔn)控制局(India CCA)信任。這些India CCA證書包含在微軟Root Store中,因此Windows中運(yùn)行的很多應(yīng)用程序都信任該證書,包括IE瀏覽器和谷歌的Chrome瀏覽器。Mac OS X、iOS和Android操作系統(tǒng)中的根存儲(chǔ)并不包含印度CCA的證書,所以并沒(méi)有受到影響。Firefox也沒(méi)有受到影響,因?yàn)樗褂玫氖亲约旱母?儲(chǔ),其中不包含這些證書。
谷歌通過(guò)發(fā)布CRLSet迅速阻止了Chrome中的未經(jīng)授權(quán)的證書。印度CCA隨后撤銷了所有NIC中間證書,并且進(jìn)行了又一次CRLSet更新 來(lái)包含這個(gè)撤銷。同時(shí),由于谷歌網(wǎng)站利用公共密鑰pinning機(jī)制,Windows中的Chrome不會(huì)讓谷歌網(wǎng)站接受這些偽造證書。pinning是 一種HTTP協(xié)議,允許Web管理員指示瀏覽器在給定的時(shí)間內(nèi)記住或者“pin”到Web服務(wù)器的數(shù)字證書,從而減少了在這個(gè)pin時(shí)間內(nèi)可以驗(yàn)證該域名 的機(jī)構(gòu)數(shù)量。
目前有幾個(gè)舉措正試圖改進(jìn)對(duì)CA及其頒發(fā)證書的信任。這些包括谷歌的Certificate Transparency計(jì)劃和DNS-based Authentication of Named Entities(DANE)。然而,到目前為止這些項(xiàng)目并沒(méi)有廣泛的部署。
瀏覽器的信任決策是基于根存儲(chǔ)中信任根,因此企業(yè)保護(hù)其用戶免受惡意證書的危害的最好辦法是,確保瀏覽器保持更新了最新的證書信任列表。打開瀏覽器 中的證書吊銷檢查并不能夠很有效地確定證書是否仍然有效,并會(huì)顯著減慢頁(yè)面加載時(shí)間。更好的選擇是使用防火墻來(lái)深層掃描SSL加密流量,以嗅出假證書或惡 意代碼。安全團(tuán)隊(duì)還應(yīng)該監(jiān)控安全新聞feeds,并且在還沒(méi)有可用更新而對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)被認(rèn)為不可接受時(shí),應(yīng)該從根存儲(chǔ)手動(dòng)刪除不受信任證書。在整個(gè)企業(yè)網(wǎng) 絡(luò)撤銷根和清除本地緩存CTL的指令可以通過(guò)組策略來(lái)發(fā)布。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧