國內ca機構沃通被爆在沒有審核網域名稱歸屬的情況下,給申請者頒發了一張github根網域名稱的ssl證書。
傳統的電子證書管理系統其實是網際網路上最薄弱的一環,使用者們盲目相信全球的ca機構能夠保護他們的機密和個人資訊的完整性。但是,這些證書機構能夠為任何你所擁有的網域名稱頒發合法的ssl證書,也不會管你有沒有在其他的證書機構購買過。這是ca系統中最大的漏洞。而最近的這起事件中,沃通在沒有審核網域名稱歸屬的情況下,就為某申請者頒發了一張ssl證書。
沃通(wosign) 是一家國內的證書簽發機構,公司自稱是中國最大的國產品牌數字證書頒發機構,中國市場占有率超過70%,擁有全球信任的頂級根證書。這起事件由英國的mozilla程式設計師gervase markham發布在mozilla的安全政策郵箱列表裡,據他說,這樣的情況從2023年7月就開始了,他一直沒有上報。
markham在郵件列表裡稱,2023年6月,有申請者發現沃通免費證書服務存在問題,只要申請者證明他們擁有子網域名稱,沃通就會給他們頒發根域的證書。這名申請者本來是想要申請一張』med.ucf.edu』的證書,不小心寫成了,』www.ucf.edu『,結果沃通居然同意了,頒發了一張根網域名稱的證書給他。
為了進一步測試,研究人員用同樣的方法針對github的根網域名稱實施了欺騙,眾所周知,github是可以支援使用者建立自己的.github.io子網域名稱的。因此,當申請者證明自己有子域控制權後,沃通同樣分發了github根網域名稱的證書。
研究人員向沃通報告了這個情況,並以github為例,結果沃通只是吊銷了github的證書。之所以只吊銷了乙個證書,可能是因為沃通沒有能力再去乙個乙個追蹤所有誤發的根證書。研究人員最近聯絡上了google,並且報告了ucf.edu證書一年之後還沒有被吊銷的問題。
證書是一家**與訪客建立安全通訊的渠道,證書遭到洩露,會危及使用者安全造成嚴重後果。攻擊者可以利用虛假證書進行中間人攻擊從而劫持使用者。
實際上為了防止這類事件的發生,有乙個公共服務機制叫做證書透明,這個機制能夠讓個人使用者和公司檢查他們的網域名稱一共被簽發了多少張證書。
證書透明就是讓證書機構們公開他們所發布的每一張證書。實際上沃通也參加了這個機制。
雖然這個機制不能防止ca頒發假的證書,但是它能夠使得偽造證書的檢測更加方便。目前,google,賽門鐵克、digicert等ca都在參與維護公共證書透明日誌。
你可以使用google或comodo的證書透明查詢工具查詢你的網域名稱下所有的證書。
CA機構及SSL證書
網際網路安全形勢日趨嚴峻,企業重視自身網際網路安全已成必然,ssl認證成大勢所趨。要部署ssl證書最首先就是選好ca機構!其次選擇適合自己的ssl證書!今天就來介紹一下如何選擇ca機構及ssl證書 首先我們應該如何選擇ca機構呢?ca機構是什麼?ca機構是什麼?ca機構就是ssl證書審核簽發機構,電...
沃通免費SSL證書
沃通免費ssl證書支援所有瀏覽器 伺服器 移動終端,無需註冊,10分鐘頒發。下面分享一下經驗。1 首先,移步這裡快速申請 全中文,不用註冊,直接申請,在這裡不再累贅了 2 提交申請上班時間 10分鐘就頒發 4 配置我的是 nginx 首先上傳上述兩個檔案到 vps 必須的,推薦使用 winscp 我...
國內做「人臉識別」的機構
1 上海銀晨 國內最早研究人臉識別 的當屬於中科院計算所跟哈工大的乙個聯合面像實驗室。該實驗室的高文教授,陳熙林教授,山世光教授,直到今天,都一直活躍在人臉識別領域,更可貴的是,在ieee上面發表了很多 這一點,很值得國內的同行學習。後來,該實驗室,成為上海銀晨的研發中心,專門為上海銀晨做技術研發和...