日韩A级黄片1区2区3区在线观看,欧美乱人伦人妻中文字幕,99热精品中文激情综合啪啪网

提高數(shù)字證書透明度識破偽造SSL證書

在當(dāng)今的互聯(lián)網(wǎng)中，站長們會通過安裝SSL證書（服務(wù)器證書）來認(rèn)證網(wǎng)站身份和進(jìn)行流量加密，避免“釣魚”網(wǎng)站和信息泄露的危害。SSL證書是由數(shù)字證書管理機構(gòu)（簡稱CA）簽發(fā)的，CA是一個受信任的第三方組織，負(fù)責(zé)發(fā)布和管理 SSL證書。

全球有數(shù)百個受信任的CA，他們中的任何一個都有權(quán)利為你的網(wǎng)站域名頒發(fā)有效的SSL證書。但大部分人卻不知道，百密一疏，部分CA系統(tǒng)可能存在漏洞，并導(dǎo)致一些偽造的SSL證書流入網(wǎng)絡(luò)，威脅互聯(lián)網(wǎng)的安全。

近年來的SSL證書偽造事件

去年，谷歌發(fā)現(xiàn)賽門鐵克在 Google 不知情下為 Google 域名頒發(fā)了有效期一天的預(yù)簽證書。這樣的事情已經(jīng)不是第一次發(fā)生了，部分CA的權(quán)利被濫用或者是錯誤地被用于發(fā)布偽造的數(shù)字證書，這樣的舉動使數(shù)百萬互聯(lián)網(wǎng)用戶的隱私處于危險之中。

2011年3月，一名黑客入侵了Comodo公司，偷走了七個Web域共9個數(shù)字證書，包括：mail.google.com、addons.mozilla.org和login.yahoo.com 等。在同一年，荷蘭的CA機構(gòu)DigiNotar同樣遭到了黑客入侵，頒發(fā)了大量的偽造證書。由于這些偽造證書，數(shù)百萬用戶遭到了中間人攻擊。例如斯諾登泄露的文件中透露：美國國家安全局就利用一些CA頒發(fā)的偽造SSL證書，截取和破解了大量HTTPS加密網(wǎng)絡(luò)會話。

提高SSL證書的透明度

DigiNotar、Comodo、賽門鐵克等公司的事件為我們敲響了警鐘，也結(jié)束了人們盲目信任CA的時代。那么，你如何發(fā)現(xiàn)是否有指向你域名的偽造SSL證書被發(fā)行給他人，甚至是被攻擊者所利用呢？

一個有效的方法就是CA要及時公開所簽發(fā)證書的數(shù)據(jù)，也就是提高證書的透明度，讓我們可以通過比對數(shù)據(jù)及時確定證書的真?zhèn)巍Ｓ谑窃?013年，谷歌發(fā)起了這一名為證書透明度（Certificate Transparency，簡稱CT）的項目。這一項目的目標(biāo)是提供一個開放的審計和監(jiān)控系統(tǒng)，可以讓任何域名所有者或者CA確定證書是否被錯誤簽發(fā)或者被惡意使用，從而提高 HTTPS 網(wǎng)站的安全性。

注：加入證書透明度項目的SSL證書將獲得瀏覽器額外的信息佐證，可查看Certificate information（透明度信息）

CT項目要求CA公開其頒發(fā)的每一個數(shù)字證書的數(shù)據(jù)，并將其記錄到證書日志中。值得注意的是，證書透明度項目并沒有替代傳統(tǒng)的以CA為基礎(chǔ)的鑒定驗證程序，它只是提供給你一個查詢途徑，讓你可以確保你的證書是獨一無二的。

證書透明度將讓人們可以快速地識別出被錯誤或者惡意頒發(fā)的數(shù)字證書，以此來緩解可能會出現(xiàn)的安全問題，例如中間人攻擊。今年早些時候，證書透明度系統(tǒng)和監(jiān)控服務(wù)幫助facebook安全團(tuán)隊提前檢測到了多個fb.com子域的偽造證書。

注：未公開透明度信息的SSL證書瀏覽器信息

注：已公開透明度信息的SSL證書瀏覽器信息

證書透明度項目在中國

據(jù)悉，目前已有數(shù)家中國地區(qū)的CA正在籌備參與到證書透明度項目中，其中就有我國規(guī)模最大的數(shù)字證書管理機構(gòu)中國金融融認(rèn)證中心（CFCA）。CFCA SSL證書是目前唯一在中國境內(nèi)自建全球服務(wù)器證書根證書系統(tǒng)并通過WebTrust國際安全審計認(rèn)證，且得到所有主流操作系統(tǒng)信任，在PC端、手機端均可應(yīng)用的國產(chǎn)證書。為了加入證書透明度項目，進(jìn)一步提高SSL證書的安全性，CFCA在2016年伊始開始對其證書頒發(fā)系統(tǒng)進(jìn)行改造、升級，以適應(yīng)項目對證書系統(tǒng)的各項要求。

注：CFCA EV SSL證書示例

在正式加入證書透明度計劃后，CFCA頒發(fā)的所有EV證書將升級為EV CT證書。也就是這些證書的數(shù)據(jù)都將實時記錄到CT項目的證書日志中，任何人都可以通過在線工具查詢該日志，或者驗證頒發(fā)的證書是否已經(jīng)被合理地記錄在日志之中。每個證書還會包含一個證書時間戳，它可以證明證書在被頒發(fā)之前已經(jīng)被記錄到了日志之中。隨著CT項目在我國的不斷推進(jìn)，國產(chǎn)SSL證書將逐步達(dá)到國際最高的安全水準(zhǔn)。

注：本文部分內(nèi)容引自freebuf