日韩精品无码久久久久成人,亚洲在线永久免费,特色特黄三级视频农村

提高數(shù)字證書透明度識(shí)破偽造SSL證書

在當(dāng)今的互聯(lián)網(wǎng)中，站長(zhǎng)們會(huì)通過(guò)安裝SSL證書（服務(wù)器證書）來(lái)認(rèn)證網(wǎng)站身份和進(jìn)行流量加密，避免“釣魚”網(wǎng)站和信息泄露的危害。SSL證書是由數(shù)字證書管理機(jī)構(gòu)（簡(jiǎn)稱CA）簽發(fā)的，CA是一個(gè)受信任的第三方組織，負(fù)責(zé)發(fā)布和管理 SSL證書。

全球有數(shù)百個(gè)受信任的CA，他們中的任何一個(gè)都有權(quán)利為你的網(wǎng)站域名頒發(fā)有效的SSL證書。但大部分人卻不知道，百密一疏，部分CA系統(tǒng)可能存在漏洞，并導(dǎo)致一些偽造的SSL證書流入網(wǎng)絡(luò)，威脅互聯(lián)網(wǎng)的安全。

近年來(lái)的SSL證書偽造事件

去年，谷歌發(fā)現(xiàn)賽門鐵克在 Google 不知情下為 Google 域名頒發(fā)了有效期一天的預(yù)簽證書。這樣的事情已經(jīng)不是第一次發(fā)生了，部分CA的權(quán)利被濫用或者是錯(cuò)誤地被用于發(fā)布偽造的數(shù)字證書，這樣的舉動(dòng)使數(shù)百萬(wàn)互聯(lián)網(wǎng)用戶的隱私處于危險(xiǎn)之中。

2011年3月，一名黑客入侵了Comodo公司，偷走了七個(gè)Web域共9個(gè)數(shù)字證書，包括：mail.google.com、addons.mozilla.org和login.yahoo.com 等。在同一年，荷蘭的CA機(jī)構(gòu)DigiNotar同樣遭到了黑客入侵，頒發(fā)了大量的偽造證書。由于這些偽造證書，數(shù)百萬(wàn)用戶遭到了中間人攻擊。例如斯諾登泄露的文件中透露：美國(guó)國(guó)家安全局就利用一些CA頒發(fā)的偽造SSL證書，截取和破解了大量HTTPS加密網(wǎng)絡(luò)會(huì)話。

提高SSL證書的透明度

DigiNotar、Comodo、賽門鐵克等公司的事件為我們敲響了警鐘，也結(jié)束了人們盲目信任CA的時(shí)代。那么，你如何發(fā)現(xiàn)是否有指向你域名的偽造SSL證書被發(fā)行給他人，甚至是被攻擊者所利用呢？

一個(gè)有效的方法就是CA要及時(shí)公開(kāi)所簽發(fā)證書的數(shù)據(jù)，也就是提高證書的透明度，讓我們可以通過(guò)比對(duì)數(shù)據(jù)及時(shí)確定證書的真?zhèn)巍Ｓ谑窃?013年，谷歌發(fā)起了這一名為證書透明度（Certificate Transparency，簡(jiǎn)稱CT）的項(xiàng)目。這一項(xiàng)目的目標(biāo)是提供一個(gè)開(kāi)放的審計(jì)和監(jiān)控系統(tǒng)，可以讓任何域名所有者或者CA確定證書是否被錯(cuò)誤簽發(fā)或者被惡意使用，從而提高 HTTPS 網(wǎng)站的安全性。

注：加入證書透明度項(xiàng)目的SSL證書將獲得瀏覽器額外的信息佐證，可查看Certificate information（透明度信息）

CT項(xiàng)目要求CA公開(kāi)其頒發(fā)的每一個(gè)數(shù)字證書的數(shù)據(jù)，并將其記錄到證書日志中。值得注意的是，證書透明度項(xiàng)目并沒(méi)有替代傳統(tǒng)的以CA為基礎(chǔ)的鑒定驗(yàn)證程序，它只是提供給你一個(gè)查詢途徑，讓你可以確保你的證書是獨(dú)一無(wú)二的。

證書透明度將讓人們可以快速地識(shí)別出被錯(cuò)誤或者惡意頒發(fā)的數(shù)字證書，以此來(lái)緩解可能會(huì)出現(xiàn)的安全問(wèn)題，例如中間人攻擊。今年早些時(shí)候，證書透明度系統(tǒng)和監(jiān)控服務(wù)幫助facebook安全團(tuán)隊(duì)提前檢測(cè)到了多個(gè)fb.com子域的偽造證書。

注：未公開(kāi)透明度信息的SSL證書瀏覽器信息

注：已公開(kāi)透明度信息的SSL證書瀏覽器信息

證書透明度項(xiàng)目在中國(guó)

據(jù)悉，目前已有數(shù)家中國(guó)地區(qū)的CA正在籌備參與到證書透明度項(xiàng)目中，其中就有我國(guó)規(guī)模最大的數(shù)字證書管理機(jī)構(gòu)中國(guó)金融融認(rèn)證中心（CFCA）。CFCA SSL證書是目前唯一在中國(guó)境內(nèi)自建全球服務(wù)器證書根證書系統(tǒng)并通過(guò)WebTrust國(guó)際安全審計(jì)認(rèn)證，且得到所有主流操作系統(tǒng)信任，在PC端、手機(jī)端均可應(yīng)用的國(guó)產(chǎn)證書。為了加入證書透明度項(xiàng)目，進(jìn)一步提高SSL證書的安全性，CFCA在2016年伊始開(kāi)始對(duì)其證書頒發(fā)系統(tǒng)進(jìn)行改造、升級(jí)，以適應(yīng)項(xiàng)目對(duì)證書系統(tǒng)的各項(xiàng)要求。

注：CFCA EV SSL證書示例

在正式加入證書透明度計(jì)劃后，CFCA頒發(fā)的所有EV證書將升級(jí)為EV CT證書。也就是這些證書的數(shù)據(jù)都將實(shí)時(shí)記錄到CT項(xiàng)目的證書日志中，任何人都可以通過(guò)在線工具查詢?cè)撊罩?，或者?yàn)證頒發(fā)的證書是否已經(jīng)被合理地記錄在日志之中。每個(gè)證書還會(huì)包含一個(gè)證書時(shí)間戳，它可以證明證書在被頒發(fā)之前已經(jīng)被記錄到了日志之中。隨著CT項(xiàng)目在我國(guó)的不斷推進(jìn)，國(guó)產(chǎn)SSL證書將逐步達(dá)到國(guó)際最高的安全水準(zhǔn)。

注：本文部分內(nèi)容引自freebuf