蓝点网
给你感兴趣的内容

研究人员通过钓鱼方式欺骗赛门铁克吊销了合法证书

《Linux就该这么学》运维人员的必读Linux系统入门书籍

日前谷歌公司的研究人员仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题

不过在这个时候却有其他的安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时没有未按规定操作。

研究人员的钓鱼检测:

该研究人员注册了新的域名然后向赛门铁克和科莫多申请了证书,在此过程中两家公司都给签发了数字证书。

接着这名研究人员伪造对应证书的假私钥并上传Pastebin网站,然后开始向赛门铁克和科莫多申请撤销证书。

正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。

因此赛门铁克在收到这名研究人员的申请后立刻吊销了证书,而科莫多在收到申请后却没有将对应证书吊销。

但别忘了本身研究人员发给赛门铁克的就是假私钥, 赛门铁克直接吊销了证书说明该公司并没有去验证私钥

研究人员通过钓鱼方式欺骗赛门铁克吊销了合法证书

危害性在哪里:

按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。

但是赛门铁克在未经验证的情况下直接将证书吊销了, 这个操作不但不符合要求而且还可能造成极大的危害。

例如我现在直接伪造个假的私钥然后向赛门铁克申请吊销搜狗的证书, 然后赛门铁克就直接吊销了搜狗证书

然后大家在访问搜狗的时候就会直接出现拦截提醒, 因为搜狗的证书已经作废了所以任何浏览器都不再信任

当然如果真的去申请吊销大公司的证书不大可能实现, 但是如果去申请吊销中小网站的搞不好就真的会成功。

PS: 举例搜狗的原因是搜狗在使用赛门铁克证书,国内其他的大型网站似乎之前是赛门铁克现在换成其他了。


谷歌和Mozilla目前都要求赛门铁克改善基础设施提高安全,同时谷歌也提出需要对赛门铁克执行惩罚性措施。

目前惩罚性措施主要包括缩短赛门铁克签发证书的有效期, 同时还包括暂停信任赛门铁克的EV扩展验证证书。

*注:EV扩展验证证书即Extended Validation Certificate,浏览器地址栏会详细显示证书所有者的公司名称。

此前沃通和StartCom因管理混乱违规操作遭到谷歌和Mozilla的封锁谷歌将在九月彻底停止信任沃通证书

转载请注明蓝点网 » 研究人员通过钓鱼方式欺骗赛门铁克吊销了合法证书
分享到: 更多 (0)

评论 4

评论前必须登录!

 

  1. #3
    Sogou Explorer Sogou Explorer Windows 10 64位版 Windows 10 64位版

    鸭子哥你的泛域名证书怎么搞的,我也想要一个。

    • Google Chrome 59.0.3071.115 Google Chrome 59.0.3071.115 Windows 10 64位版 Windows 10 64位版

      等着吧 Mozilla免费证书明年就可以通配符证书了 现在很贵的 我这是亚信赞助的 通配符证书起步都得3000+好像

  2. #2
    Google Chrome 59.0.3071.115 Google Chrome 59.0.3071.115 Windows 10 64位版 Windows 10 64位版

    comodo的杀软好像已经不更新了?虽然跟这个话题没什么关系

    endream5个月前 (07-25)
  3. #1
    Maxthon 5.0.4.3000 Maxthon 5.0.4.3000 Windows 10 64位版 Windows 10 64位版

    毛豆还是可以的

    蓝屏表示不服5个月前 (07-24)