美国安全公司为客户提供“万能”SSL数字证书

  • 批评人士最近呼吁各大 IT 企业撤销对美国证书授权机构 (CA) 和安全公司 Trustwave 签发的 SSL 证书的信任 – 该公司刚刚承认了自己在完全肯定证书会被客户用于假冒不属于该客户的网站并实施中间人攻击的情况下,仍然为客户签发了证书。

    Trustwave 为该客户 (具体买主并未公开) 提供的是所谓的 “中间级证书”: 这一证书允许客户为互联网上的任何服务器签发被各种主流浏览器视为有效的 SSL 证书。而这买主则将该证书用于对其内部网络用户使用 SSL 加密的网站和服务时的行为进行监控 – 利用受信任的假证书窃听用户与服务器间的通信, 这里的 “监控” 事实上已经属于中间人攻击。另外,为了避免该证书私钥被黑客窃走并用于非法用途, 该证书附有一个硬件反泄密系统保护其不被盗用。

    尽管如此, 安全专家仍然认为这种情况不可接受,并已经向谋智网络 (Mozilla) 发出呼吁要求该公司删除 Trustwave 在 Firefox 浏览器和 Thunderbird 邮件软件中的受信根证书。他们认为,依据谋智网络的根证书政策和其他软件公司类似的对 CA 证书的要求,Trustwave 的行为已经违反了 “不得故意在证书涉及的各方不知情的情况下签发证书” (即假冒其他服务器的证书) 这一原则。

    安全专家也表示,Trustwave 坚持该证书只在客户的内部网络中使用并且不会外流这点在此事件中毫无意义。Christopher Soghoian, 一个要求谋智撤销对 Trustwave 信任的讨论组的一名成员, 写到: “虽然对 SSL 连接的拦截可能是基于合法理由的, 并且这个企业的员工可能完全知情, 但无论如何以上任何一点都不会改变一个事实 – Trustwave 签发的证书已经被用于冒充其他网站。 这种行为不仅完全无法接受, 并且已经违反了谋智的相关政策。”

发表评论