【51CTO.com 9月13日外電頭條】數字證書已變得使用太不方便，因而不值得信任？

數字證書對于互聯網上所用的SSL安全模型來說極其重要，它可以確保用戶與他們訪問的網站之間有一條安全、加密的直接連接。但是如果攻擊者闖入了認證機構，為合法網站頒發虛假證書，那一切努力都付之東流了，尤其是說到竊聽。

[[43377]]

比如今年7月初，以欺詐手段獲得的數字證書（由荷蘭認證機構DigiNotar頒發）被用來針對Gmail用戶發動中間人攻擊。攻擊者鉆空子得逞后，得以讀取廣大受害者的電子郵件。

英國電信集團（BT）的首席安全技術官Bruce Schneier在博文中說："這起攻擊表明了SSL存在的許多安全問題當中的一個：單一信任點實在太多了。"換句話說，只要破壞了這些信任點中的任何一個，安全也就蕩然無存。

以DigiNotar案為例，直到這起事件鬧得相當大了，這家荷蘭的認證機構（CA）才發現其安全漏洞，更不用說承認了。Sophos加拿大公司的高級安全顧問Chester Wisniewski在博文中表示，荷蘭政府事后委托第三方機構，對這起事件進行了調查。據調查的初步結果顯示，DigiNotar的信息安全工作做得很差勁，包括沒有集中式日志，沒有集中管理關鍵部件，使用過時、沒有打補丁的軟件，以及管理員密碼通過蠻力攻擊就很容易被破解。他說，此外，"所有的證書服務器都屬于一個Windows域，那樣只要闖入一個管理員帳戶，就能控制一切。"

根據那些發現的結果，荷蘭政府接管了原先歸總部設在芝加哥的Vasco所有的DigiNotar。荷蘭檢察官表示，他們在評估要不要以刑事過失的罪名起訴DigiNotar的工作人員。

值得關注的是，據Vasco上周發布的一份聲明顯示，那個破壞性的漏洞歸因于2011年上半年收入將近141000美元的這家認證機構被人鉆了空子。而之前，谷歌、微軟和Mozilla等廠商曾要求針對該漏洞編寫補丁程序。該聲明還承諾，DigiNotar"預計會在本周底之前為其所有客戶拿出解決方案"，并"預計這起事件引起的損失會降至最低。"

不過在隨后寫給投資者的一封未注明日期的善后信中，Vasco改變了調調；聲稱盡管該公司在2011年1月收購了DigiNotar，并計劃在2012年之前將DigiNoatar的產品完全集成到自己的產品中，但Vasco自己的產品仍然"100%不用DigiNotar的證書。"

換句話說，DigiNotar似乎注定沒戲了。近日，Mozilla發布了前所未有的一則聲明，表示會永久性阻止每一個DigiNotar證書。Firefox工程主管Jonathan Nightingale在博文中說："在今年早些時候的一起事件中，我們與數字認證機構Comodo一起阻止了一套被誤頒發的證書；Comodo及時發現了這些證書，采取了遏制措施，并且立即向我們報告。相比之下，在DigiNotar案中，我們不能肯定問題已得到了遏制。此外，他們沒有通知我們，因而我們對于自己能否保護用戶、避免將來的此類泄密事件深表擔憂。"谷歌和微軟同樣已開始永久阻止DigiNotar的證書。

DigiNotar受到懲罰，是因為它沒有迅速如實說來。Nightingale說："秘密地確保SSL體系的完整性是不可能的。諸如此類的事件表明了認證機構與軟件開發商之間需要積極的、迅即的而全面的聯系與溝通，那樣才能讓我們的共同用戶在網上安全。"

但是DigiNotar遭攻擊表明了要破壞SSL是何等容易，也表明了引起的嚴重后果，哪怕有明確的溝通渠道。這會不會導致對認證機構進行改革或進行監管？印第安納大學應用網絡安全研究中心的研究員Christopher Soghoian近日通過推特表示："鑒于有人（可能來自伊朗）為美國中情局網站（CIA.gov）獲得了合法的HTTPS證書，我在想美國政府會不會注意這種混亂的局面。"

近日，卡巴斯基實驗室的高級反病毒研究人員Roel Schouwenberg在博文中表示，DigiNotar遭攻擊所帶來的政治影響將不亞于Stuxnet，"將使網絡戰爭放到西方國家政府的政治議程的首要或重要位置。"此外，他認為DigiNotar并不是一起孤立的事件。"由于全球有大約500家認證機構，很難相信DigiNotar是外頭唯一受到危及的認證機構。"

Schouwenberg的預測很正確。近日，一名攻擊者聲稱對DigiNotar遭攻擊事件負責，他所用的"Comodo黑客"Pastebin帳戶正是今年早些時候用來鉆Comodo認證機構空子的那個帳戶。

盡管DigiNotar漏洞已被發現，但那位Comodo黑客聲稱控制了更多的認證機構。據Pastebin上的帖子聲稱："我訪問了另外4家非常知名的認證機構，我可以通過它們來頒發證書，但我不想說出它們是誰。"Comodo黑客還聲稱訪問了StartCom認證機構，但是被硬件安全模塊阻止了。此外，該攻擊者聲稱最近成功訪問了數字認證機構GlobalSign，承諾很快會演示過程。

遺憾的是，SSL方面似乎缺少應急解決辦法。Sophos的Wisniewski說："這起事件切實表明了如今在網上所用的SSL/TLS證書信任模型是何等脆弱。我希望替代技術會迅速采用起來，比如專門研究隱私、匿名和計算機安全的實驗室研究員Moxie Marlinspike提出的Convergence，從而讓我們對于網絡通信的安全性更放心。"

Convergence是Marlinspike提出來的一種方案，它采用了眾包（crowdsourcing）的方式來驗證證書，即比較全球各地訪問某個特定網站的廣大用戶收到的證書，從而幫助確定這些證書是否合法。但是這個方法比較新，到目前為止只是用作Firefox插件。不過它也許向前邁出了一步，將來需要對認證機構的信息安全和商業做法進行重大改革。

原文鏈接：http://www.informationweek.com/news/security/vulnerabilities/231600829

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】