SSL / TLS证书：回顾2017，展望2018

2017年回顾

在2017年里，公共信任SSL / TLS证书终结了对SHA-1的安全信任，以及启动认证授权授权(CAA)，允许域名所有者自主授权指定的CA机构。浏览器对HTTP贴上“不安全”标签，推动更多的网站支持HTTPS。此外，认证机构(CA)的所有权也发生了变化，赛门铁克的SSL和相关的PKI业务被DigiCert收购，Francisco Partners收购了Comodo。

漏洞

Google和CWI正式对外宣布，成功破解SHA-1加密散列函数。攻击是通过一个完整PDF和有损坏的PDF来进行演示，证明两者的加密签名是相同的。换句话来说，就是伪造了签名。

值得庆幸的是，这个攻击对SSL / TLS毫无影响，因为从2015年起，全球的各大CA机构再也没有颁发过SHA-1的证书。同时，2017年，各大浏览器停止了对SHA-1的支持。

铜匠的攻击返回（ROCA）是加密智能卡、安全令牌和其他安全硬件芯片的软件库所使用RSA密钥生成的一个漏洞。在英飞凌科技公司生产的各种加密芯片中，ROCA被发现在一个密码库中。该漏洞在去年的第一周就已向英飞凌披露，并在公开披露前的8个月期间达成协议。包括微软、谷歌、惠普、联想和富士通在内的主要供应商发布了软件更新和减缓的指导方针。根据证书透明日志的扫描显示，绝大部分的SSL/TLS证书均未受到影响。

Bleichenbacher的甲骨文威胁（ROBOT）攻击是在2017年底宣布的，ROBOT是一个19岁的漏洞。该漏洞允许使用SSL/TLS服务器的私钥执行RSA解密和签名操作。ROBOT仅影响使用RSA加密的SSL / TLS密码模式。目前大部分的SSL / TLS连接使用椭圆曲线Diffie Hellman密钥交换，并且只需要RSA。建议禁用RSA加密模式。

SHA-1的弃用

从2017年1月起，各大浏览器和操作系统正式停止支持使用SHA-1哈希算法签名的SSL / TLS证书。这一举措，对还没及时迁移到SHA-2的网站产生了十分大的影响。

不安全

2017年1月，Google浏览器Chrome 56版本起，对仍未使用HTTPS、需要提供密码和信用卡字符的网站表示“不安全”。

2017年10月，Chrome 62将“不安全”警告扩展为所有接受网站访问者数据的非HTTPS页面。此外，Chrome浏览器隐身模式下用户访问时，这些网页也会显示“不安全”，以保护被视为使用此模式的用户作为安全基准。网站运营商应该认为这些是Google Chrome将来计划对所有HTTP页面使用“不安全”的早期预警。

Firefox对于HTTP的站点，展示“!”，并显示下拉菜单，指出“连接不安全”。对于允许密码，登录或信用卡的HTTP站点，警告被升级以显示锁定，并显示“连接不安全”下拉的菜单。

认证机构授权（CAA）

截至2017年9月，所有的CA机构都必须在颁发证书之前检查CAA记录。借助CAA，域名所有者可以：

1、授权一个或多个CA颁发证书

2、不允许任何CA颁发证书

3、允许或禁止发放通配符证书

4、提供联系信息，建议更新CAA记录或报告安全问题

如果CAA记录不允许CA颁发证书，则证书申请将失败。

CAA允许域名所有者声明他们的安全规则，所有CA都必须遵守。因此，域所有者可以使用CAA作为预防措施，以减轻攻击者从未经授权的CA获取证书的漏洞。CAA还可以强制所有员工从首选CA购买证书。

域名验证

2017年10月，CA /B论坛推出了一套完整的更新域名验证规则。在新的规则中，淘汰了CA使用“任何其他确认方法”的选项，并提出四种新的商定方法来取代，可提高验证方法的安全性。现在CA机构一共有10个标准方法来验证域。这些方法可用于DV，OV和EV证书。有关更多信息，请参阅基准要求部分3.2.2节。

不再推荐公钥密码

最初公钥密码是一个很好的做法，Google使用静态公钥保护他们的网站。这样，密钥嵌入到了Chrome中，有助于用户在2011年发现DigiNotar攻击，以及2012年由TURKTRUST公司发布的错误CA证书。

公钥固定的成功导致RFC 7469的产生，允许所有网站管理员可以部署的动态HTTP公钥密码（HPKP）。不幸的是，HPKP的配置太复杂了，而且很容易遭受黑客长时间地攻击站点。目前并不建议部署，Google准备弃用，并在Chrome中取消对HPKP的支持。

展望2018年

在2018年，将采取加强SSL/TLS证书加强安全协议的措施。OV和DV证书的有效期缩短，加速清楚不必要的证书，而对OV和DV证书的CT记录将扩展组织监控证书发布的能力。也许TLS 1.3会有更多的期待。

825天的证书到期期限

1、截至2018年3月1日，将作出以下更改：

2、DV和OV证书的最长有效期将从39个月缩短到825天

3、EV证书的最长有效期从27个月改为825天

4、验证DV和OV证书的信息验证将从39个月减少到825天。请注意，重新使用信息验证的EV证书将保持13个月。

缩短证书最长有限期的目的是强制更改证书的频率。更频繁的变化：

1、减少使用旧的密码标准的证书数量; 例如从1024移动到2048位的RSA密钥长度，或者从SHA-1移动到SHA-2哈希算法

2、缓解不符合CA /B论坛基准要求或EV准则的证书

3、减少由于欺诈请求和活动而发出的有效证书

4、加快删除错误发放的证书

5、使用已验证到旧标准的信息过期证书

结果将是旧的SSL / TLS证书将提前过期，并且对SSL / TLS生态系统的影响较小。

证书透明度（CT）

在2018年4月，谷歌将要求所有SSL / TLS证书进行CT记录，以信任Chrome。自2015年初以来，所有EV证书都已部署CT日志记录。将CT日志扩展到DV和OV证书将使域名所有者能够监视CT日志以检测任何欺诈性证书。

基于证书中的信息，有一些关于隐私的担忧。例如，有些域名仅限于内部使用，但有明确标识服务器的使用方式。也有人担心，所有域名的暴露是支持攻击的一个步骤。关心公开其域名的证书订阅户可以考虑：1）不适用日子; 2）使用专用信任证书; 3）使用通配符证书。

传输层安全（TLS）1.3

这将是第四次预计明年推出TLS 1.3。据悉，TLS 1.3已经准备就绪。RFC草案处于最后的调式阶段，TLS 1.3已经得到了Chrome、Mozilla和Opera的支持。但TLS 1.3的部署被有缺陷的中间设备阻止，这些设备试图分析流量并阻止哪些似乎不像已知协议消息的数据包。测试正在进行，可能需要对TLS 1.3进行更改，以降低失败率。

文章由GDCA翻译CA Security