健康秤厂家
免费服务热线

Free service

hotline

010-00000000
健康秤厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

美安全公司承认为客户提供万能证书

发布时间:2019-03-13 07:24:45 阅读: 来源:健康秤厂家

感谢Euyis的投递新闻来源:Ars Technica批评人士最近呼吁各大 IT 企业撤消对美国证书授权机构 (CA) 和安全公司 Trustwave 签发的 SSL 证书的信任 - 该公司刚刚承认了自己在完全肯定证书会被客户用于假冒不属于该客户的网站并实行中间人攻击的情况下, 依然为客户签发了证书.

Trustwave 为该客户 (具体买主并未公然) 提供的是所谓的 "中间级证书": 这1证书允许客户为互联网上的任何服务器签发被各种主流浏览器视为有效的 SSL 证书. 而这买主则将该证书用于对其内部网络用户使用 SSL 加密的网站和服务时的行动进行监控 - 利用受信任的假证书窃听用户与服务器间的通讯, 这里的 "监控" 事实上已属于中间人攻击. 另外, 为了避免该证书私钥被黑客窃走并用于非法用处, 该证书附有一个硬件反泄密系统保护其不被盗用.尽管如此, 安全专家依然认为这种情况不可接受, 并已向谋智网络 (Mozilla) 发出呼吁要求该公司删除 Trustwave 在 Firefox 浏览器和 Thunderbird 邮件软件中的受信根证书. 他们认为, 根据谋智网络的根证书政策和其他软件公司类似的对 CA 证书的要求, Trustwave 的行动已违背了 "不得故意在证书触及的各方不知情的情况下签发证书" (即假冒其他服务器的证书) 这1原则.安全专家也原田纯表示, Trustwave 坚持该证书只在客户的内部网络中使用并且不会外流这点在此事件中毫无意义. Christopher Soghoian, 一个要求谋智撤消对 Trustwave 信任的讨论组的1名成员, 写到: "虽然对 SSL 连接的拦截可能是基于合法理由的, 并且这个企业的员工可能完全知情, 但无论如何以上任何一点都不会改变一个事实 - Trustwave 签发的证书已被用于冒充其他网站. 这类行动不但完全没法接受, 并且已违背了谋智的相干政策." 这场 "证书门" 的导火索是 Trustwave 在近来产生数起针对授权机构的黑客攻击的背景下承认了该公司签发了上文提到的证书. 同时他们也表示会很快撤消该证书, 并许诺在未来不再有类似的行动. 该机构是历史上首个承认曾颁发过这类证书的授权机构, 但批评人士则表示这类行动其实在 CA 中非常普遍.谋智网络工程总监 Johnathan Nightingale 则表示公司的主管目前还在研究决定是不是不再信任 Trustwave. 他表示: "目前来讲, 我们支持 Trustwave 撤消该证书的做法, 同时我们鼓励其他发布过类似证书的 CA 立刻一样的公然并且撤消这些证书." 微软公司的1名发言人则谢绝对 Trustwave 的行动是不是违背了 Windows 根证书政策发表评论.Trustwave 周六发布的博客和本周二谋智开发论坛上相干讨论贴的新回复中, 该公司的代表侧重强调了持有这1证书的客户事实上遭到了使用条款的严格限制, 而且公司严格执行了条款内容. 提到的条款要求这1客户向其所有雇员公然公司内部网络的监控, 并且不三井百合ed2k允许网络上的任何用户或管理员接触证书私钥. 同时 Trustwave 表示该公司只签发过一份这类证书.这1事件的重要性在于, 这份证书是在荷兰 CA DigiNotar 的根证书失窃并被黑客用于对 Gmail, 谋智的 Firefox 插件服务和其他敏感网站发动攻击一事暴光以后六个月签发的. 与此同时去年 StartSSL 和 GlobalSign 两个 CA 也表示自己遭到了黑客攻击, 不过在黑客能够签署假证书前安全人员就已成功阻断了攻击. 而 EFF 在一次最近的调查中称 "最少还有两个 CA 也遭到了黑客攻击". 在这样的背景下, Trustwave 的行动暴光无疑加重了 IT 专家对现有 SSL 体系的忧愁 - 超过 600 个机构目前被主流浏览器厂商信任为合法的证书颁发者. 而这 600 多个点中任意一个被攻破, 黑客便可在安全机构做出反应前为所欲为的拦截被视为金莎朗电影安全的加密连接.来源: Critics slam SSL authority for minting certificate for impersonating sites

相关阅读