大多数SSL证书发行错误是由软件错误和规则误解引起的

导读 最近的一项学术研究发现,在大多数错误签发SSL证书的情况下,软件错误和对行业标准的误解是最主要的原因-占所有事件的42%。这项研究是由印

最近的一项学术研究发现,在大多数错误签发SSL证书的情况下,软件错误和对行业标准的误解是最主要的原因-占所有事件的42%。

这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,研究了379起SSL证书发行错误的实例-总共发现了1,300多个事件。

学术界人士从公共资源收集了事件数据,例如Mozilla的Bugzilla跟踪器以及Firefox和Chrome浏览器安全团队的Google网上论坛讨论区。

这项研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及SSL证书发行错误背后的最常见原因。

CA是销售或提供免费SSL证书的组织。然后,这些SSL证书用于以HTTPS连接的形式加密客户端和服务器之间的通信。

CA活动由CA / B论坛(由浏览器和OS制造商以及CA本身组成的行业组织)管理。

CA / B论坛发布并更新了行业指南,这些指南规定了颁发SSL证书的正确方法。

多年来,CA在不遵守这些规则的情况下签发证书时有很多失误。在某些情况下,CA颁发了SSL证书,用于执行中间人(MitM)攻击并拦截HTTPS通信。已用于恶意软件操作;或CA不遵循标准程序就颁发证书-由于人为错误,事故,或为了削减成本并增加利润。

还观察到CA回溯SSL证书,以避免过时的时间表。发行SSL证书而不验证买方是合法的人/公司;或使用弱或不兼容算法的已发行SSL证书。

第二个最常见的原因是CA误解了CA / B论坛规则,或者CA不知道规则已更改。这占69起案件,占所有SSL证书发行错误事件的18%。

第一个SSL发行错误的根本原因仅排在第三位。学术界人士表示,在52个SSL证书发行错误的案例中(占所有分析事件的14%),CA故意使利润超过合规性和行业规则。

“这些示例包括回溯SHA-1证书以逃避其禁止,对撤销受侵害的数字证书收取费用,出售中间人(MITM)尝试的证书,以及潜在的(或实际的)颁发证书。流氓证书。”研究人员说。“不用说,这一类别是有关CA行为不当或缺乏道德的最令人震惊的事件。”

第四大最常见的原因是人为错误,有37例(占总数的10%)。

第五位是操作错误,其中错误是由于CA的内部程序错误,而不是软件或人为错误。这占29例,占所有病例的8%。

第六个根本原因是“非最佳请求检查”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了SSL证书合法的公司。研究人员发现了24个此类事件,占所有SSL发行错误事件的6%。

免责声明:本文由用户上传,如有侵权请联系删除!