研究人员通过钓鱼方式欺骗赛门铁克吊销了合法证书
日前谷歌公司的研究人员仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题。
不过在这个时候却有其他的安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时没有未按规定操作。
研究人员的钓鱼检测:
该研究人员注册了新的域名然后向赛门铁克和科莫多申请了证书,在此过程中两家公司都给签发了数字证书。
接着这名研究人员伪造对应证书的假私钥并上传Pastebin网站,然后开始向赛门铁克和科莫多申请撤销证书。
正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。
因此赛门铁克在收到这名研究人员的申请后立刻吊销了证书,而科莫多在收到申请后却没有将对应证书吊销。
但别忘了本身研究人员发给赛门铁克的就是假私钥, 赛门铁克直接吊销了证书说明该公司并没有去验证私钥。
危害性在哪里:
按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。
但是赛门铁克在未经验证的情况下直接将证书吊销了, 这个操作不但不符合要求而且还可能造成极大的危害。
例如我现在直接伪造个假的私钥然后向赛门铁克申请吊销搜狗的证书, 然后赛门铁克就直接吊销了搜狗证书。
然后大家在访问搜狗的时候就会直接出现拦截提醒, 因为搜狗的证书已经作废了所以任何浏览器都不再信任。
当然如果真的去申请吊销大公司的证书不大可能实现, 但是如果去申请吊销中小网站的搞不好就真的会成功。
PS: 举例搜狗的原因是搜狗在使用赛门铁克证书,国内其他的大型网站似乎之前是赛门铁克现在换成其他了。
谷歌和Mozilla目前都要求赛门铁克改善基础设施提高安全,同时谷歌也提出需要对赛门铁克执行惩罚性措施。
目前惩罚性措施主要包括缩短赛门铁克签发证书的有效期, 同时还包括暂停信任赛门铁克的EV扩展验证证书。
*注:EV扩展验证证书即Extended Validation Certificate,浏览器地址栏会详细显示证书所有者的公司名称。