支持证书透明度,防止合法SSL证书被恶意使用

技术 作者:邮箱投递 2016-06-01 14:35:39
使用SSL证书实现HTTPS传输加密及服务器身份认证,已经成为防范数据泄露、流量劫持、钓鱼欺诈等安全问题的重要手段。近年来,由于黑客攻击、失误操作等问题,使得合法SSL证书出现恶意或错误使用的情况,谷歌主导的证书透明度(Certificate Transparency)项目,就是为了加强SSL证书的公开透明,强化SSL证书的可信度。本文将重点介绍SSL证书的信任机制,以及证书透明度(Certificate Transparency)如何防止SSL证书被恶意或错误使用。 1 SSL证书的信任机制 HTTPS 网站的身份认证是通过校验证书信任链来完成的,浏览器从网站SSL证书开始,逐层校验上一级父证书,直至校验到受信任的顶级根证书,从而判断网站SSL证书的颁发机构及其认证信息是否可信。顶级根证书是由受信任的证书颁发机构持有,预置在浏览器和操作系统的“受信任的根证书颁发机构”列表中,作为SSL证书信任链校验的重要依据。 证书颁发机构(CA)负责认证签发SSL证书,管理SSL证书整个生命周期,为避免黑客攻击、失误签发以及CA违规操作行为,国际标准组织从安全审计、操作规程等多方面不断完善对CA机构的严格监管。证书透明度(Certificate Transparency)就是谷歌主导的用于记录、审计和监控证书颁发机构所颁发的数字证书的项目。 什么是证书透明度(Certificate Transparency) Certificate Transparency,直译为“证书透明度”,简称为“CT”,由谷歌主导并由IETF 标准化为RFC 6962。Certificate Transparency是一个开放的审计和监控系统,要求证书颁发机构公开宣布其颁发的每一个SSL证书,将其记录到证书日志中,可以让任何域名所有者或者证书颁发机构,确定证书是否被错误签发或者恶意使用,从而保障证书签发流程安全,强化SSL证书的可信度及HTTPS网站的安全性。 证书透明度(Certificate Transparency)的工作原理 Certificate Transparency整套系统由三部分组成: 1)Certificate Logs证书日志; 2)Certificate Monitors证书监视; 3)Certificate Auditors证书审计。 CT系统是CA设施的一种补充,使之更透明、更实时。CA创建预签证书(pre-certificate)提交到谷歌认证的CT Log Server(日志服务器),日志服务器返回一个"已签证书时间戳"(Signed Certificate Timestamp),称为SCT信息。SCT信息被嵌入到正式签发的证书中,或通过TLS模式部署到Web服务器中。简单地说:就是为合法签发的证书做了一个白名单,谷歌浏览器在验证证书的同时,也会去查看这个证书是不是在白名单里面,如果不在的话,则不会显示绿色地址栏及证书透明度信息。 证书透明度的三种启用方式 1)证书内嵌 CA 先预签证书,并将证书提交到CT Log 服务器得到SCT 信息,然后CA 将SCT数据嵌入到正式签发的证书中,这样就得到了一个含有SCT 扩展的证书。 http://img.mp.itc.cn/upload/20160601/654826cb2d544b5aa2226185b129d30c_th.jpg 2)TLS扩展 证书所有者也可以自己提交证书给CT Log 服务器,得到SCT 并存起来。然后通过配置Web Server,使其能在TLS 握手阶段的Server Hello 响应中启用"已签证书时间戳"(Signed Certificate Timestamp)扩展,传递SCT 信息。 http://img.mp.itc.cn/upload/20160601/ffb19149367c496dbd947001314461ec_th.jpg 3)OCSP扩展 还有一种方法,CA 按照普通流程完成证书签发后,再将证书提交到CT Log 服务器得到SCT,然后改造OCSP(Online Certificate Status Protocol,在线证书状态协议)服务,将SCT 信息包含到OCSP 响应中。服务端启用OCSP Stapling(OCSP 封套)后,就可以在证书链中包含证书的OCSP 查询结果,其中就包含SCT 信息。 2 证书透明度查询工具 任何证书所有者及颁发机构,可以使用谷歌的证书透明度查询工具https://www.google.com/transparencyreport/https/ct/ 确定自己的证书是否被错误签发或者恶意使用。 证书透明度的实施有助于增强用户的信心,确保网站能够及时发现恶意或错误签发的SSL证书,防止身份仿冒及中间人攻击,提升网站可信度及站点安全,希望尚未支持CT的SSL证书用户,及时升级支持CT技术。 3

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接