美國(guó)安全公司為客戶提供“萬能”SSL數(shù)字證書
批評(píng)人士最近呼吁各大IT企業(yè)撤銷對(duì)美國(guó)證書授權(quán)機(jī)構(gòu)(CA)和安全公司Trustwave簽發(fā)的SSL證書的信任-該公司剛剛承認(rèn)了自己在完全肯定證書會(huì)被客戶用于假冒不屬于該客戶的網(wǎng)站并實(shí)施中間人攻擊的情況下,仍然為客戶簽發(fā)了證書。
Trustwave為該客戶(具體買主并未公開)提供的是所謂的“中間級(jí)證書”:這一證書允許客戶為互聯(lián)網(wǎng)上的任何服務(wù)器簽發(fā)被各種主流瀏覽器視為有效的SSL證書。而這買主則將該證書用于對(duì)其內(nèi)部網(wǎng)絡(luò)用戶使用SSL加密的網(wǎng)站和服務(wù)時(shí)的行為進(jìn)行監(jiān)控-利用受信任的假證書竊聽用戶與服務(wù)器間的通信,這里的“監(jiān)控”事實(shí)上已經(jīng)屬于中間人攻擊。另外,為了避免該證書私鑰被黑客竊走并用于非法用途,該證書附有一個(gè)硬件反泄密系統(tǒng)保護(hù)其不被盜用。
盡管如此,安全專家仍然認(rèn)為這種情況不可接受,并已經(jīng)向謀智網(wǎng)絡(luò)(Mozilla)發(fā)出呼吁要求該公司刪除Trustwave在Firefox瀏覽器和Thunderbird郵件軟件中的受信根證書。他們認(rèn)為,依據(jù)謀智網(wǎng)絡(luò)的根證書政策和其他軟件公司類似的對(duì)CA證書的要求,Trustwave的行為已經(jīng)違反了“不得故意在證書涉及的各方不知情的情況下簽發(fā)證書”(即假冒其他服務(wù)器的證書)這一原則。
安全專家也表示,Trustwave堅(jiān)持該證書只在客戶的內(nèi)部網(wǎng)絡(luò)中使用并且不會(huì)外流這點(diǎn)在此事件中毫無意義。ChristopherSoghoian,一個(gè)要求謀智撤銷對(duì)Trustwave信任的討論組的一名成員,寫到:“雖然對(duì)SSL連接的攔截可能是基于合法理由的,并且這個(gè)企業(yè)的員工可能完全知情,但無論如何以上任何一點(diǎn)都不會(huì)改變一個(gè)事實(shí)-Trustwave簽發(fā)的證書已經(jīng)被用于冒充其他網(wǎng)站。這種行為不僅完全無法接受,并且已經(jīng)違反了謀智的相關(guān)政策。”
這場(chǎng)“證書門”的導(dǎo)火索是Trustwave在近來發(fā)生數(shù)起針對(duì)授權(quán)機(jī)構(gòu)的黑客攻擊的背景下承認(rèn)了該公司簽發(fā)了上文提到的證書。同時(shí)他們也表示會(huì)很快撤銷該證書,并承諾在未來不再有類似的行為。該機(jī)構(gòu)是歷史上首個(gè)承認(rèn)曾頒發(fā)過這種證書的授權(quán)機(jī)構(gòu),但批評(píng)人士則表示這種行為其實(shí)在CA中非常普遍。
謀智網(wǎng)絡(luò)工程總監(jiān)JohnathanNightingale則表示公司的主管目前還在研究決定是否不再信任Trustwave。他表示:“目前來說,我們支持Trustwave撤銷該證書的做法,同時(shí)我們鼓勵(lì)其他發(fā)布、類似證書的CA立刻同樣的公開并且撤銷這些證書。”微軟公司的一名發(fā)言人則拒絕對(duì)Trustwave的行為是否違背了Windows根證書政策發(fā)表評(píng)論。
Trustwave周六發(fā)布的博客和本周二謀智開發(fā)論壇上相關(guān)討論貼的新回復(fù)中,該公司的代表著重強(qiáng)調(diào)了持有這一證書的客戶事實(shí)上受到了使用條款的嚴(yán)格限制,而且公司嚴(yán)格執(zhí)行了條款內(nèi)容。提到的條款要求這一客戶向其所有雇員公開公司內(nèi)部網(wǎng)絡(luò)的監(jiān)控,并且不允許網(wǎng)絡(luò)上的任何用戶或管理員接觸證書私鑰。同時(shí)Trustwave表示該公司只簽發(fā)過一份這種證書。
這一事件的重要性在于,這份證書是在荷蘭CADigiNotar的根證書失竊并被黑客用于對(duì)Gmail,謀智的Firefox插件服務(wù)以及其他敏感網(wǎng)站發(fā)動(dòng)攻擊一事曝光之后六個(gè)月簽發(fā)的。與此同時(shí)去年StartSSL和GlobalSign兩個(gè)CA也表示自己遭到了黑客攻擊,不過在黑客能夠簽署假證書前安全人員就已經(jīng)成功阻斷了攻擊,而EFF在一次最近的調(diào)查中稱“至少還有兩個(gè)CA也遭到了黑客襲擊”。
在這樣的背景下,Trustwave的行為曝光無疑加重了IT專家對(duì)現(xiàn)有SSL體系的憂慮-超過600個(gè)機(jī)構(gòu)目前被主流瀏覽器廠商信任為合法的證書頒發(fā)者。而這600多個(gè)點(diǎn)中任意一個(gè)被攻破,黑客即可在安全機(jī)構(gòu)做出反應(yīng)前隨心所欲的攔截被視為安全的加密連接。
【編輯推薦】
- 俄羅斯組建“網(wǎng)警”K部 加大網(wǎng)絡(luò)信息安全保護(hù)
- 教你一招如何保證網(wǎng)絡(luò)安全
- 變被動(dòng)為主動(dòng):IT運(yùn)維如何反擊黑客
- 網(wǎng)絡(luò)攻擊被世界經(jīng)濟(jì)論壇列為全球第四大威脅
