剑客
关注科技互联网

[译]火狐浏览器准备阻止,威胁网络安全的证书颁发机构

火狐浏览器准备阻止,威胁网络安全的证书颁发机构

根据开发火狐浏览器的组织的建议浏览器块由基于中国的证书颁发机构为 12 个月后发现有偷工减料,破坏整个传输层安全系统的加密和验证网站的数字凭据。

浏览器信任我们深知机构故意追溯证书发出有过去九个月,避免行业规定禁止使用的 sha-1 哈希算法,Mozilla 官员在周一发表的一份报告中指控。长沙 1 基于特征码被禁止在今年年初因为行业的共识,他们易患可以创建冒牌凭据的密码碰撞攻击令人无法接受。为了满足顾客遇到困难退休老哈希函数,我们深知继续使用它无论如何和隐蔽使用约会证书之前第一这一年,Mozilla 官员说。他们还指责深知不正当地隐瞒其收购以色列证书颁发机构 StartCom,这用来发出至少不当已颁发的证书之一。

周一的报告指出,”考虑到上面列出的所有问题,Mozilla 的 CA 团队有能力失去信心的 WoSign/StartCom 履行忠实地胜任 CA 的职能,”。”因此我们建议,从开始日期待定在不久的将来,Mozilla 产品不再将新发行的信任证书颁发的这两个 CA 品牌之一。

我们深知官员,包括首席执行官理查德 · 王,没有回复电子邮件为这篇文章置评。

还记得 DigiNotar 吗?

谴责来自六年之后的总部设在荷兰的证书颁发机构 DigiNotar 允许攻击者以薄荷伪造证书 Google.com 和超过 200 其他高交通域黑客。证书被用作对至少 30 万人与伊朗关系他们浏览网站冒充伪造证书。谷歌和 Mozilla 永久放逐从 Chrome 和 Firefox DigiNotar 分别结束其安全,少得可怜。

2011 年 8 月前五个月 DigiNotar 事件,绑在一个单独的权威,Comodo,服务器被黑客入侵伊朗 IP 地址用于访问 Gmail、 雅虎和其他五个领域为伪造证书的人的人。违约行为引发浏览器制造商疯狂努力黑名单证书之前他们可以用来模拟受影响的网站。三个月后,StartCom,管理局最近购买的我们深知没有披露,遭受的安全漏洞,导致它暂停操作,但没有导致任何伪造证书成功发行。

在 2012 年,很大程度上在响应攻击,浏览器制造商施加严格的 CAs 通过称为 CA/浏览器论坛一个财团的安全要求规范。在周一的报告中,Mozilla 官员说他们反对我们深知列举的行为违反了若干 CAs 均须遵守作为受信任的主流浏览器的一个条件的基本要求。

在报告中得出的具体结论包括︰

  • 追溯至较早沙 1 证书是相当普遍的做法,我们深知,在和他们一贯否认曾经这么做。(问题 S 和上面给出的证据)
  • 我们深知建立了系统,申请人可以在其中添加额外任意域到他们之前签发的证书。错误通知发生时,即使他们没有确定根本原因和消除的缺陷只有在不相关的系统升级。(问题 N)
  • 我们深知有”首次发行,后来验证”的过程,它在哪里,在下一个工作天验证过程中检测错误已颁发的证书并撤销他们在这一点上可以接受。(问题 N)
  • 我们深知的团队似乎不认为 misissuance 是值得进一步比只吊销证书。(问题 N)
  • 我们深知的方法对其 CPS 是倒退 — — 而不是跟着它,改变它第一次在必要的时候,他们改变他们的做法,然后更新文档时提醒。(问题 J)
  • 如果他们网站所有权验证机制的经验来看,似乎令人怀疑我们深知保持适当详细和不可改变的他们通知日志。(问题 L)
  • 了解证书制度,由他们的工程师,和水平的质量控制和检测行使他们的系统,改变水平仍有很多,不足之处。它并不他们有适当的文化实践开发安全和可靠的软件。(发出问题 L V)
  • 它不会出现深知学从其他 Ca,例如赛门铁克的测试证书问题或沙 1 例外过程的经验。(问题 P,S 的问题)
  • 仍不清楚的原因,我们深知似乎都下决心要隐瞒事实,他们购买了 StartCom,积极误导 Mozilla 和公众对这种情况。(问题 R)
  • 我们深知的审计师,安永 (香港),未能检测他们应该已检测到的多个问题。(问题 J,X 问题)

报告中提到的问题来自事件由 Mozilla 官员过去几周里调查这更长的时间列表。该报告引用了此证书以供付款处理器 Tyro.com 作为 WoSign/StartCom 据称追溯证明书的一个例子。它不是直到 6 月 8 日,以前的沙 1 证书域过期后的一天在野外发现。”NotBefore”日期,然而,哪个 CAB 论坛要求说应该大致匹配的时间颁发的证书,被列为 2015 年 12 月 20 日,当 CAs 仍获准颁发沙 1 证书的日期。总之,报告发现 62 同样追溯证书。

A Google spokesperson said on Monday he was investigating whether Chrome planned to issue similar recommendations against WoSign/StartCom. He hadn’t responded by Tuesday. Last October Google
publicly chastised a Symantec-owned certificate business for lapses

这涉及不当发行包括 google.com 网站扩展的验证证书。

周一的报告是一个提醒,传输层安全系统的安全性只壮得像其至少值得信赖或主管的证书颁发机构。有几个几百当局得到了火狐浏览器和其他主要的浏览器,信任,和他们每个人都表示单点故障具有潜在采取下所有,或至少与大的受信任的 Web 部分我们所知。脆弱性显然不失去了对 Mozilla,和它对任何人,也不应该输。

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址