如何防范伪造未经授权的SSL证书

发布时间:2016-12-13 09:29:00
  最近未经授权的HTTPS证书成为热门新闻话题,其中有些证书还是来自已熟知/理应可信的供应商的根存储。那么,企业应如何防范伪造未经授权的SSL证书呢?

  互联网的安全性在很大程度上依赖于对证书颁发机构(CA)的信任,CA颁发数字证书以供Web服务器用于识别自己和加密服务器及用户之间的流量。这些证书可以防止攻击者伪造网站或者窃听发送到和发送自网站的通信。

  不幸的是,这种信任正在被破坏,因为一系列针对CA(例如DigiNotar和Comodo)的攻击以及ANSSI情况中的糟糕做法—这导致颁发欺诈性或未经授权数字证书。伪造证书允许攻击者窥视Web服务器和浏览器之间发送的信息,即使这种连接似乎很安全。他们还可以用来欺骗内容以及执行网络钓鱼或中间人攻击。在最近的事件中,在CA印度国家信息中心(NIC)的证书发布过程受到攻击后,对很多谷歌的域名发出了未经授权数字证书。

  NIC持有几个中间CA证书受印度政府的核准控制局(India CCA)信任。这些India CCA证书包含在微软Root Store中,因此Windows中运行的很多应用程序都信任该证书,包括IE浏览器和谷歌的Chrome浏览器。Mac OS X、iOS和Android操作系统中的根存储并不包含印度CCA的证书,所以并没有受到影响。Firefox也没有受到影响,因为它使用的是自己的根存 储,其中不包含这些证书。

  谷歌通过发布CRLSet迅速阻止了Chrome中的未经授权的证书。印度CCA随后撤销了所有NIC中间证书,并且进行了又一次CRLSet更新 来包含这个撤销。同时,由于谷歌网站利用公共密钥pinning机制,Windows中的Chrome不会让谷歌网站接受这些伪造证书。pinning是 一种HTTP协议,允许Web管理员指示浏览器在给定的时间内记住或者“pin”到Web服务器的数字证书,从而减少了在这个pin时间内可以验证该域名的机构数量。

  目前有几个举措正试图改进对CA及其颁发证书的信任。这些包括谷歌的Certificate Transparency计划和DNS-based Authentication of Named Entities(DANE)。然而,到目前为止这些项目并没有广泛的部署。

  浏览器的信任决策是基于根存储中信任根,因此企业保护其用户免受恶意证书的危害的最好办法是,确保浏览器保持更新了最新的证书信任列表。打开浏览器中的证书吊销检查并不能够很有效地确定证书是否仍然有效,并会显著减慢页面加载时间。更好的选择是使用防火墙来深层扫描SSL加密流量,以嗅出假证书或恶意代码。安全团队还应该监控安全新闻feeds,并且在还没有可用更新而对网络的风险被认为不可接受时,应该从根存储手动删除不受信任证书。在整个企业网络撤销根和清除本地缓存CTL的指令可以通过组策略来发布。


最新发布
1
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
2
SSL证书过期?后果很严重!
3
疫情防控常态化,企业信息安全将同步迎来“大考”
4
SM2算法对比RSA算法,到底强在哪?
5
免费or付费?人类高质量SSL证书怎么选!
6
国务院颁发信息安全条例 国密SM2算法势在必行
7
东京奥运会被钓鱼网站攻击,如何破局?
8
Google再次发声,浏览器安全措施再度升级
9
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
10
打开网站显示您与此网站建立的连接不安全怎么办?
相关推荐
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
打开网站显示您与此网站建立的连接不安全怎么办?
疫情防控常态化,企业信息安全将同步迎来“大考”
SM2算法对比RSA算法,到底强在哪?
年中大促来袭|SSL证书618盛惠热浪即将开启
新安全措施:微软为Edge浏览器引入自动HTTPS切换功能
Google再次发声,浏览器安全措施再度升级
免费or付费?人类高质量SSL证书怎么选!
美国燃油管道竟被黑客封锁,吓!到底怎么才能确保数据安全?
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!