Michael Cobb是認(rèn)證信息系統(tǒng)安全架構(gòu)專家(CISSP-ISSAP)，知名的安全作家，具有十多年豐富的IT行業(yè)經(jīng)驗(yàn)，并且還從事過十六年的金融行業(yè)。他是Cobweb Applications公司的創(chuàng)始人兼常務(wù)董事，該公司主要提供IT培訓(xùn)，以及數(shù)據(jù)安全和分析的支持。Michael還合著過IIS Security一書，并為領(lǐng)先的IT出版物撰寫過無數(shù)科技文章。此外，Michael還是微軟認(rèn)證數(shù)據(jù)庫(kù)系統(tǒng)管理員和微軟認(rèn)證專家。

最近未經(jīng)授權(quán)的HTTPS證書成為熱門新聞話題，其中有些證書還是來自已熟知/理應(yīng)可信的供應(yīng)商的根存儲(chǔ)。那么，企業(yè)應(yīng)該如何防范這些偽造證書?

Michael Cobb：互聯(lián)網(wǎng)的安全性在很大程度上依賴于對(duì)證書頒發(fā)機(jī)構(gòu)(CA)的信任，CA頒發(fā)數(shù)字證書以供Web服務(wù)器用于識(shí)別自己和加密服務(wù)器及用戶之間的流量。這些證書可以防止攻擊者偽造網(wǎng)站或者竊聽發(fā)送到和發(fā)送自網(wǎng)站的通信。

[[125418]]

不幸的是，這種信任正在被破壞，因?yàn)橐幌盗嗅槍?duì)CA(例如DigiNotar和Comodo)的攻擊以及ANSSI情況中的糟糕做法—這導(dǎo)致頒發(fā)欺詐性或未經(jīng)授權(quán)數(shù)字證書。偽造證書允許攻擊者窺視Web服務(wù)器和瀏覽器之間發(fā)送的信息，即使這種連接似乎很安全。他們還可以用來欺騙內(nèi)容以及執(zhí)行網(wǎng)絡(luò)釣魚或中間人攻擊。在最近的事件中，在CA印度國(guó)家信息中心(NIC)的證書發(fā)布過程受到攻擊后，對(duì)很多谷歌的域名發(fā)出了未經(jīng)授權(quán)數(shù)字證書。

NIC持有幾個(gè)中間CA證書受印度政府的核準(zhǔn)控制局(India CCA)信任。這些India CCA證書包含在微軟Root Store中，因此Windows中運(yùn)行的很多應(yīng)用程序都信任該證書，包括IE瀏覽器和谷歌的Chrome瀏覽器。Mac OS X、iOS和Android操作系統(tǒng)中的根存儲(chǔ)并不包含印度CCA的證書，所以并沒有受到影響。Firefox也沒有受到影響，因?yàn)樗褂玫氖亲约旱母鎯?chǔ)，其中不包含這些證書。

谷歌通過發(fā)布CRLSet迅速阻止了Chrome中的未經(jīng)授權(quán)的證書。印度CCA隨后撤銷了所有NIC中間證書，并且進(jìn)行了又一次CRLSet更新來包含這個(gè)撤銷。同時(shí)，由于谷歌網(wǎng)站利用公共密鑰pinning機(jī)制，Windows中的Chrome不會(huì)讓谷歌網(wǎng)站接受這些偽造證書。pinning是一種HTTP協(xié)議，允許Web管理員指示瀏覽器在給定的時(shí)間內(nèi)記住或者“pin”到Web服務(wù)器的數(shù)字證書，從而減少了在這個(gè)pin時(shí)間內(nèi)可以驗(yàn)證該域名的機(jī)構(gòu)數(shù)量。

目前有幾個(gè)舉措正試圖改進(jìn)對(duì)CA及其頒發(fā)證書的信任。這些包括谷歌的Certificate Transparency計(jì)劃和DNS-based Authentication of Named Entities(DANE)。然而，到目前為止這些項(xiàng)目并沒有廣泛的部署。

瀏覽器的信任決策是基于根存儲(chǔ)中信任根，因此企業(yè)保護(hù)其用戶免受惡意證書的危害的最好辦法是，確保瀏覽器保持更新了最新的證書信任列表。打開瀏覽器中的證書吊銷檢查并不能夠很有效地確定證書是否仍然有效，并會(huì)顯著減慢頁(yè)面加載時(shí)間。更好的選擇是使用防火墻來深層掃描SSL加密流量，以嗅出假證書或惡意代碼。安全團(tuán)隊(duì)還應(yīng)該監(jiān)控安全新聞feeds，并且在還沒有可用更新而對(duì)網(wǎng)絡(luò)的風(fēng)險(xiǎn)被認(rèn)為不可接受時(shí)，應(yīng)該從根存儲(chǔ)手動(dòng)刪除不受信任證書。在整個(gè)企業(yè)網(wǎng)絡(luò)撤銷根和清除本地緩存CTL的指令可以通過組策略來發(fā)布。