批评人士最近呼吁各大 IT 企业撤销对美国证书授权机构 (CA) 和安全公司 Trustwave 签发的 SSL 证书的信任 – 该公司刚刚承认了自己在完全肯定证书会被客户用于假冒不属于该客户的网站并实施中间人攻击的情况下, 仍然为客户签发了证书.
Trustwave 为该客户 (具体买主并未公开) 提供的是所谓的 “中间级证书”: 这一证书允许客户为互联网上的任何服务器签发被各种主流浏览器视为有效的 SSL 证书. 而这买主则将该证书用于对其内部网络用户使用 SSL 加密的网站和服务时的行为进行监控 – 利用受信任的假证书窃听用户与服务器间的通信, 这里的 “监控” 事实上已经属于中间人攻击. 另外, 为了避免该证书私钥被黑客窃走并用于非法用途, 该证书附有一个硬件反泄密系统保护其不被盗用.
尽管如此, 安全专家仍然认为这种情况不可接受, 并已经向谋智网络 (Mozilla) 发出呼吁要求该公司删除 Trustwave 在 Firefox 浏览器和 Thunderbird 邮件软件中的受信根证书. 他们认为, 依据谋智网络的根证书政策和其他软件公司类似的对 CA 证书的要求, Trustwave 的行为已经违反了 “不得故意在证书涉及的各方不知情的情况下签发证书” (即假冒其他服务器的证书) 这一原则.
安全专家也表示, Trustwave 坚持该证书只在客户的内部网络中使用并且不会外流这点在此事件中毫无意义. Christopher Soghoian, 一个要求谋智撤销对 Trustwave 信任的讨论组的一名成员, 写到: “虽然对 SSL 连接的拦截可能是基于合法理由的, 并且这个企业的员工可能完全知情, 但无论如何以上任何一点都不会改变一个事实 – Trustwave 签发的证书已经被用于冒充其他网站. 这种行为不仅完全无法接受, 并且已经违反了谋智的相关政策.”
这场 “证书门” 的导火索是 Trustwave 在近来发生数起针对授权机构的黑客攻击的背景下承认了该公司签发了上文提到的证书. 同时他们也表示会很快撤销该证书, 并承诺在未来不再有类似的行为. 该机构是历史上首个承认曾颁发过这种证书的授权机构, 但批评人士则表示这种行为其实在 CA 中非常普遍.
谋智网络工程总监 Johnathan Nightingale 则表示公司的主管目前还在研究决定是否不再信任 Trustwave. 他表示: “目前来说, 我们支持 Trustwave 撤销该证书的做法, 同时我们鼓励其他发布过类似证书的 CA 立刻同样的公开并且撤销这些证书.” 微软公司的一名发言人则拒绝对 Trustwave 的行为是否违背了 Windows 根证书政策发表评论.
Trustwave 周六发布的博客和本周二谋智开发论坛上相关讨论贴的新回复中, 该公司的代表着重强调了持有这一证书的客户事实上受到了使用条款的严格限制, 而且公司严格执行了条款内容. 提到的条款要求这一客户向其所有雇员公开公司内部网络的监控, 并且不允许网络上的任何用户或管理员接触证书私钥. 同时 Trustwave 表示该公司只签发过一份这种证书.
这一事件的重要性在于, 这份证书是在荷兰 CA DigiNotar 的根证书失窃并被黑客用于对 Gmail, 谋智的 Firefox 插件服务以及其他敏感网站发动攻击一事曝光之后六个月签发的. 与此同时去年 StartSSL 和 GlobalSign 两个 CA 也表示自己遭到了黑客攻击, 不过在黑客能够签署假证书前安全人员就已经成功阻断了攻击. 而 EFF 在一次最近的调查中称 “至少还有两个 CA 也遭到了黑客袭击”.
在这样的背景下, Trustwave 的行为曝光无疑加重了 IT 专家对现有 SSL 体系的忧虑 – 超过 600 个机构目前被主流浏览器厂商信任为合法的证书颁发者. 而这 600 多个点中任意一个被攻破, 黑客即可在安全机构做出反应前随心所欲的拦截被视为安全的加密连接.
来源:Ars Technica: Critics slam SSL authority for minting certificate for impersonating sites