批評(píng)人士最近呼吁各大IT企業(yè)撤銷(xiāo)對(duì)美國(guó)證書(shū)授權(quán)機(jī)構(gòu)（CA）和安全公司Trustwave簽發(fā)的SSL證書(shū)的信任-該公司剛剛承認(rèn)了自己在完全肯定證書(shū)會(huì)被客戶(hù)用于假冒不屬于該客戶(hù)的網(wǎng)站并實(shí)施中間人攻擊的情況下，仍然為客戶(hù)簽發(fā)了證書(shū)。

Trustwave為該客戶(hù)（具體買(mǎi)主并未公開(kāi)）提供的是所謂的“中間級(jí)證書(shū)”:這一證書(shū)允許客戶(hù)為互聯(lián)網(wǎng)上的任何服務(wù)器簽發(fā)被各種主流瀏覽器視為有效的SSL證書(shū)。而這買(mǎi)主則將該證書(shū)用于對(duì)其內(nèi)部網(wǎng)絡(luò)用戶(hù)使用SSL加密的網(wǎng)站和服務(wù)時(shí)的行為進(jìn)行監(jiān)控-利用受信任的假證書(shū)竊聽(tīng)用戶(hù)與服務(wù)器間的通信，這里的“監(jiān)控”事實(shí)上已經(jīng)屬于中間人攻擊。另外，為了避免該證書(shū)私鑰被黑客竊走并用于非法用途，該證書(shū)附有一個(gè)硬件反泄密系統(tǒng)保護(hù)其不被盜用。

盡管如此，安全專(zhuān)家仍然認(rèn)為這種情況不可接受，并已經(jīng)向謀智網(wǎng)絡(luò)（Mozilla）發(fā)出呼吁要求該公司刪除Trustwave在Firefox瀏覽器和Thunderbird郵件軟件中的受信根證書(shū)。他們認(rèn)為，依據(jù)謀智網(wǎng)絡(luò)的根證書(shū)政策和其他軟件公司類(lèi)似的對(duì)CA證書(shū)的要求，Trustwave的行為已經(jīng)違反了“不得故意在證書(shū)涉及的各方不知情的情況下簽發(fā)證書(shū)”（即假冒其他服務(wù)器的證書(shū)）這一原則。

安全專(zhuān)家也表示，Trustwave堅(jiān)持該證書(shū)只在客戶(hù)的內(nèi)部網(wǎng)絡(luò)中使用并且不會(huì)外流這點(diǎn)在此事件中毫無(wú)意義。ChristopherSoghoian，一個(gè)要求謀智撤銷(xiāo)對(duì)Trustwave信任的討論組的一名成員，寫(xiě)到：“雖然對(duì)SSL連接的攔截可能是基于合法理由的，并且這個(gè)企業(yè)的員工可能完全知情，但無(wú)論如何以上任何一點(diǎn)都不會(huì)改變一個(gè)事實(shí)-Trustwave簽發(fā)的證書(shū)已經(jīng)被用于冒充其他網(wǎng)站。這種行為不僅完全無(wú)法接受，并且已經(jīng)違反了謀智的相關(guān)政策。”

這場(chǎng)“證書(shū)門(mén)”的導(dǎo)火索是Trustwave在近來(lái)發(fā)生數(shù)起針對(duì)授權(quán)機(jī)構(gòu)的黑客攻擊的背景下承認(rèn)了該公司簽發(fā)了上文提到的證書(shū)。同時(shí)他們也表示會(huì)很快撤銷(xiāo)該證書(shū)，并承諾在未來(lái)不再有類(lèi)似的行為。該機(jī)構(gòu)是歷史上首個(gè)承認(rèn)曾頒發(fā)過(guò)這種證書(shū)的授權(quán)機(jī)構(gòu)，但批評(píng)人士則表示這種行為其實(shí)在CA中非常普遍。

謀智網(wǎng)絡(luò)工程總監(jiān)JohnathanNightingale則表示公司的主管目前還在研究決定是否不再信任Trustwave。他表示：“目前來(lái)說(shuō)，我們支持Trustwave撤銷(xiāo)該證書(shū)的做法，同時(shí)我們鼓勵(lì)其他發(fā)布、類(lèi)似證書(shū)的CA立刻同樣的公開(kāi)并且撤銷(xiāo)這些證書(shū)。”微軟公司的一名發(fā)言人則拒絕對(duì)Trustwave的行為是否違背了Windows根證書(shū)政策發(fā)表評(píng)論。

Trustwave周六發(fā)布的博客和本周二謀智開(kāi)發(fā)論壇上相關(guān)討論貼的新回復(fù)中，該公司的代表著重強(qiáng)調(diào)了持有這一證書(shū)的客戶(hù)事實(shí)上受到了使用條款的嚴(yán)格限制，而且公司嚴(yán)格執(zhí)行了條款內(nèi)容。提到的條款要求這一客戶(hù)向其所有雇員公開(kāi)公司內(nèi)部網(wǎng)絡(luò)的監(jiān)控，并且不允許網(wǎng)絡(luò)上的任何用戶(hù)或管理員接觸證書(shū)私鑰。同時(shí)Trustwave表示該公司只簽發(fā)過(guò)一份這種證書(shū)。

這一事件的重要性在于，這份證書(shū)是在荷蘭CADigiNotar的根證書(shū)失竊并被黑客用于對(duì)Gmail，謀智的Firefox插件服務(wù)以及其他敏感網(wǎng)站發(fā)動(dòng)攻擊一事曝光之后六個(gè)月簽發(fā)的。與此同時(shí)去年StartSSL和GlobalSign兩個(gè)CA也表示自己遭到了黑客攻擊，不過(guò)在黑客能夠簽署假證書(shū)前安全人員就已經(jīng)成功阻斷了攻擊，而EFF在一次最近的調(diào)查中稱(chēng)“至少還有兩個(gè)CA也遭到了黑客襲擊”。

在這樣的背景下，Trustwave的行為曝光無(wú)疑加重了IT專(zhuān)家對(duì)現(xiàn)有SSL體系的憂(yōu)慮-超過(guò)600個(gè)機(jī)構(gòu)目前被主流瀏覽器廠商信任為合法的證書(shū)頒發(fā)者。而這600多個(gè)點(diǎn)中任意一個(gè)被攻破，黑客即可在安全機(jī)構(gòu)做出反應(yīng)前隨心所欲的攔截被視為安全的加密連接。

【編輯推薦】

1. 俄羅斯組建“網(wǎng)警”K部 加大網(wǎng)絡(luò)信息安全保護(hù)
2. 教你一招如何保證網(wǎng)絡(luò)安全
3. 變被動(dòng)為主動(dòng)：IT運(yùn)維如何反擊黑客
4. 網(wǎng)絡(luò)攻擊被世界經(jīng)濟(jì)論壇列為全球第四大威脅