剑客
关注科技互联网

[译]一家中国公司一直在据称破坏互联网安全

一家中国公司一直在据称破坏互联网安全Flickr / Qfamily

一家中国公司被破坏互联网安全通过颁发弱 web 安全证书显然都 — — 是什么让那旁边显示一个网站地址,以显示用户的域是安全的锁 — — 其他大的问题之一。

研究人员在 Mozilla 放在一起冗长的技术分析,他们发现,声称基于深圳的我们深知发放证书的网站,没有让他们,或回溯之发行以绕过安全协议的业务的人。

我们深知是证书颁发机构,这意味着它受信任的网站所有者向发出有效的凭据,所以他们的用户可以访问他们的网站,知道一切是好。当你访问像亚马逊这样的网站时,例如,您将看到 web 地址,可以查看,请单击旁边的锁。这证明用户和网站管理员,其数据安全也来回移动,通过加密的隧道,所以外人不能偷听或 intecept 它。

没有它、 信用卡、 个人信息和其他任何可能可以截获。或者,如果一个黑客能够获得有效的证书,像亚马逊这样的网站,他们可以进行拦截的攻击之前到达的服务器, 可能会修改用户的数据。

而这正是中央佛罗里达大学的一名系统管理员发现。

上月下旬,S tephen Schrauger 写了一篇博文关于他是如何能够获取 SSL 证书域 Github.com — — 超级流行的代码共享网站由数以百万计的开发人员使用。不用说,Schrauger 并不拥有 Github.com。

一家中国公司一直在据称破坏互联网安全合法的证书。保罗 Szoldra

“我们深知签署我的证书,和你瞧,我有一个证书有效期为 github.com、 github.io、 www.github.io、 schrauger.github.com,schrauger.github.io,”他写道。”我建立了一个试验网站我回应到 GitHub 的域的本地机器上。我装的网站,看到的位置是 https://github.com,浏览器会说我的连接由我们深知签署有效证书加密。

它是常见的做法,为证书颁发机构 (CA) 来验证一个人拥有一个网站通过给予文本要上载的文件。域管理员需要的文件上, 传到他们的服务器,然后 CA 看,看到了那个文件在那里,很快,他们知道可以信任的人。这是他在 Github,子域 Schrauger 做什么 schrauger.github.com。

但我们深知不区分一个子域和主要的一个。Schrauger 发现,基本上与子域的任何人都可以获得一个有效的证书。只是觉得的可能性︰ 所有你将需要证明是所有权的 yourdomain.tumblr.com 和你能搞成,人都在 Tumblr,例如。

它变得更糟

根据 Mozilla,我们深知也回溯它颁发的证书,提供超级薄弱的安全 — — 尽管大多数互联网公司已同意他们淘汰。这些证书用于沙 1 加密,慢慢地支持多强沙-256 淘汰。

这很重要,因为大量的 web 浏览器将被禁止使用的沙 1 网站明年。作为淘汰的一部分,像 Mozilla 浏览器开发者有禁止 CAs 与旧加密后的任何时候 2016 年 1 月 1 日颁发新证书。

但我们深知找到一种解决方法 — — 在该日期之前回溯这些弱的证书。Mozilla 并不快乐。

一家中国公司一直在据称破坏互联网安全看见一个人在旁边展台 Mozilla 火狐的标志在移动世界大会在巴塞罗那汤森路透

Mozilla 研究者”mozilla,持续公众信任的 CA 证书系统的正常工作对互联网的健康至关重要,我们将毫不犹豫地采取措施,例如上述维护公众的信任,”在他们的分析。”我们认为此处的行为将是不能接受的任何 CA,无论其国籍、 商业模式或在市场的地位.”

进一步,我们深知没有报告,它收购了竞争对手的 CA 被称为 StartCom,根据 Mozilla — — 尽管这是 CA 的要求。

这是一个巨大的禁忌。 休息信托的东西从这种权力。的证据是令人难以置信的强大,辉煌科技分析的基础。— — 木兰冲刺 (@anildash) 2016 年 9 月 28 日

除了我们深知和 StartCom 的问题其巨大上市,Mozilla 还大喊︰ 我们深知的审计机构安永在香港,它说”无法检测他们应该已检测到的多个问题”。

Mozilla 考虑我们深知,为期一年的禁令,很有可能其他浏览器也会考虑这样的举动。

一位谷歌发言人告诉 Ars 技术周一他们正在调查此事。(谷歌拒绝进一步商业内幕发表评论)。我们深知也没有回应置评请求。

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址