美國安全公司為客戶提供“萬能”SSL數字證書
批評人士最近呼吁各大IT企業撤銷對美國證書授權機構(CA)和安全公司Trustwave簽發的SSL證書的信任-該公司剛剛承認了自己在完全肯定證書會被客戶用于假冒不屬于該客戶的網站并實施中間人攻擊的情況下,仍然為客戶簽發了證書。
Trustwave為該客戶(具體買主并未公開)提供的是所謂的“中間級證書”:這一證書允許客戶為互聯網上的任何服務器簽發被各種主流瀏覽器視為有效的SSL證書。而這買主則將該證書用于對其內部網絡用戶使用SSL加密的網站和服務時的行為進行監控-利用受信任的假證書竊聽用戶與服務器間的通信,這里的“監控”事實上已經屬于中間人攻擊。另外,為了避免該證書私鑰被黑客竊走并用于非法用途,該證書附有一個硬件反泄密系統保護其不被盜用。
盡管如此,安全專家仍然認為這種情況不可接受,并已經向謀智網絡(Mozilla)發出呼吁要求該公司刪除Trustwave在Firefox瀏覽器和Thunderbird郵件軟件中的受信根證書。他們認為,依據謀智網絡的根證書政策和其他軟件公司類似的對CA證書的要求,Trustwave的行為已經違反了“不得故意在證書涉及的各方不知情的情況下簽發證書”(即假冒其他服務器的證書)這一原則。
安全專家也表示,Trustwave堅持該證書只在客戶的內部網絡中使用并且不會外流這點在此事件中毫無意義。ChristopherSoghoian,一個要求謀智撤銷對Trustwave信任的討論組的一名成員,寫到:“雖然對SSL連接的攔截可能是基于合法理由的,并且這個企業的員工可能完全知情,但無論如何以上任何一點都不會改變一個事實-Trustwave簽發的證書已經被用于冒充其他網站。這種行為不僅完全無法接受,并且已經違反了謀智的相關政策。”
這場“證書門”的導火索是Trustwave在近來發生數起針對授權機構的黑客攻擊的背景下承認了該公司簽發了上文提到的證書。同時他們也表示會很快撤銷該證書,并承諾在未來不再有類似的行為。該機構是歷史上首個承認曾頒發過這種證書的授權機構,但批評人士則表示這種行為其實在CA中非常普遍。
謀智網絡工程總監JohnathanNightingale則表示公司的主管目前還在研究決定是否不再信任Trustwave。他表示:“目前來說,我們支持Trustwave撤銷該證書的做法,同時我們鼓勵其他發布、類似證書的CA立刻同樣的公開并且撤銷這些證書。”微軟公司的一名發言人則拒絕對Trustwave的行為是否違背了Windows根證書政策發表評論。
Trustwave周六發布的博客和本周二謀智開發論壇上相關討論貼的新回復中,該公司的代表著重強調了持有這一證書的客戶事實上受到了使用條款的嚴格限制,而且公司嚴格執行了條款內容。提到的條款要求這一客戶向其所有雇員公開公司內部網絡的監控,并且不允許網絡上的任何用戶或管理員接觸證書私鑰。同時Trustwave表示該公司只簽發過一份這種證書。
這一事件的重要性在于,這份證書是在荷蘭CADigiNotar的根證書失竊并被黑客用于對Gmail,謀智的Firefox插件服務以及其他敏感網站發動攻擊一事曝光之后六個月簽發的。與此同時去年StartSSL和GlobalSign兩個CA也表示自己遭到了黑客攻擊,不過在黑客能夠簽署假證書前安全人員就已經成功阻斷了攻擊,而EFF在一次最近的調查中稱“至少還有兩個CA也遭到了黑客襲擊”。
在這樣的背景下,Trustwave的行為曝光無疑加重了IT專家對現有SSL體系的憂慮-超過600個機構目前被主流瀏覽器廠商信任為合法的證書頒發者。而這600多個點中任意一個被攻破,黑客即可在安全機構做出反應前隨心所欲的攔截被視為安全的加密連接。
【編輯推薦】
