据外媒报道,近日美国印第安纳大学发布了一份研究报告,探讨了SSL证书会被错误签发的原因。据了解,SSL证书可用于加密客户端和服务器之间的通信,由证书颁发机构(Certificate Authority,简称CA)予以签发。
在某些情况下,CA颁发的SSL证书会被不法分子用于恶意目的,如发起执行中间人(man-in-the-middle)攻击、拦截HTTPS通信等。为对此展开研究,技术人员从公共渠道收集了379起SSL证书发行错误实例,并总结了六种SSL证书被不法分子利用的原因。
SSL证书签发错误的原因分析:
①CA机构错误颁发的SSL证书有可能会被不法分子所利用,进行恶意攻击,例如用于发起中间人攻击、发起钓鱼攻击、窃取HTTPS通信内容等等。
②造成错误签发的第二大的原因是:CA在无意间违反了CA/B论坛的规定,占所有案例的18%。
③排名第三的原因则是CA于利益考虑而故意违规,占比14%。
④除了上述占比较大的原因之外,CA内部程序错误(8%)、对申请用户的身份检查不到位(6%)、CA机构被入侵或失去对系统的控制(6%)也是导致SSL证书被错误签发的原因。
⑤CA行业规定的更改、硬件问题,以及行规与法律的冲突等一系列因素都有可能导致SSL证书被错误签发。
报告还指出,最容易出错的CA包括StartCom、WoSign、DigiCert、PROCERT、Comodo(Sectigo)、QuoVadis、VISA、GoDaddy、Certum、Camerfirma和SwissSign。
声明:本平台所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本平台赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
领取优惠
提交成功!