证书签发机构StartCom也被曝签发假证书

AlexFrankly 2017-6-7 最新资讯 0 0

main-qimg-5f57f94d5d2ede8371367c7d4eea0593.png

位于以色列埃拉特的证书颁发机构StartCom 之前已经被大部分浏览器取消信任,但前几天被曝光签发了假的证书,包括最高信任级别的 EV 证书。

StartCom

StartCom 是一家位于以色列埃拉特的证书颁发机构。2016年10月24日,Mozilla在其安全博客上宣布,由于在对证书颁发机构沃通(360 旗下)数个问题的调查中发现它收购了StartCom,而交易双方并未披露此事,Mozilla将从Firefox 51开始,停止信任2016年10月21日后签发的证书。2016年9月1日,Google也宣布会从Chrome 56开始停止信任上述证书。2016年9月30日,苹果产品将阻止由沃通和StartCom根CA签发,且生效日期在2016年12月1日00:00:00 GMT/UTC或其后的证书。

颁发假证书

还记得去年沃通签发假证书的事件吗?

去年9月,英国的Mozilla程序员Gervase Markham在发布在Mozilla的安全政策邮箱列表里说,沃通在没有审核域名归属的情况下,就为某申请者颁发了一张SSL证书。根据他的描述,这样的情况从2015年7月就开始了,他一直没有上报。由于证书事故频发,沃通原CEO王高华表示承担错误责任,并宣布辞职。而且,为了防止事故再次发生,沃通提出了多条改进措施,除了沃通公司内部的检查外,对于被收购的StartCom也会发布单独的”短期整改计划”。

然而好景不长,5月31日,网友Patryk Szczygłowski在mozilla.dev.security.policy的Google讨论组发帖称发现多张假证书。证书签发机构StartCom也被曝签发假证书

这些证书的签署机构都是StartCom,其中甚至包括了EV证书(一些诈骗网站和钓鱼网站也开始使用SSL证书以骗取受害者的信任,因此网站通过EV证书恢复用户对于网站持有者合法性的信心。根据要求,在颁发证书之前,证书发行机构(CA)必须要验证申请者的身份)。

crt.png

6月1日,StartCom CEO Iñigo Barreira回应称,发生事件的原因主要是StartCom在部署CT log(CT全称证书透明,是一个公共服务机制,这个机制能够让个人用户和公司检查他们的域名一共被签发了多少张证书,让证书颁发机构们公开他们所发布的每一张证书)。

StartCom的团队位于中国,因此Iñigo Barreira称,由于GFW的存在,StartCom实现CT机制时遇到了问题,因此他们联系了Primekey(一家提供PKI解决方案的公司)尝试解决这些问题。这些“假证书”正是在测试中签署的,并且签署后立即撤销了。在声明的帖子中他还附上了两份报告,一份是关于证书的细节截图,另一份是事故处理记录。

s.png

证书签发时间和吊销时间比较

report.png

事故处理记录

争议

事实上无论是从签署的域名(test.cn)还是从吊销的时间我们都可以看出,这几张证书的确是用作测试。在Google讨论组,大家讨论的都是以test.cn这样的域名来作证书测试是不是一个好的选择:

Yuhong Bao:

最好使用example.com而不是test.com之类的域名,因为example.com被IANA定义为保留域名。

Matthew Hardeman:

不,签署证书的时候应该基准要求。

即便是签署example.com的证书,CA也会陷入麻烦的。

如果测试证书中包含dnsName,CA就应该用一个自己注册的域名进行测试。

而国内网站Solidot上,网民的讨论则主要集中在对StartCom及沃通的指责上。这样的指责无可厚非,作为管理数字证书的权威机构,很多CA机构在颁发证书时并不十分谨慎。

2015年12月,Google宣布全系列产品不再信任赛门铁克某款根证书,原因是赛门铁克旗下的低端证书品牌Thawte发了一个测试的Google证书,只是测试了一天就吊销了。

2014年7月,印度国家信息安全中心NIC被发现使用Indian CCA发行的次级CA证书发行了多个假的Google和雅虎SSL证书。

*参考来源:Google Groups & Solidot,本文作者:Sphinx,转载请注明来自FreeBuf(FreeBuf.COM)

转载请注明来自华盟网,本文标题:《证书签发机构StartCom也被曝签发假证书》

喜欢 (0) 发布评论