本港台开奖现场直播 j2开奖直播报码现场
当前位置: 新闻频道 > IT新闻 >

wzatv:HTTPS证书吊销机制已坏,是时候需要一些新工具了(4)

时间:2017-07-05 01:59来源:报码现场 作者:118开奖 点击:
为了获得关于我们在OCSP封套方面怎么做的 一些 反馈,可以启用一项名为OCSP Expect-Staple的功能。之前这方面我写过一篇文章,可以在博客OCSP Expect-Staple(

为了获得关于我们在OCSP封套方面怎么做的一些反馈,可以启用一项名为OCSP Expect-Staple的功能。之前这方面我写过一篇文章,可以在博客OCSP Expect-Staple(https://scotthelme.co.uk/ocsp-expect-staple/)中了解所有细节,不过这里将给出简短版本。你可以请求添加HSTS preload列表:如果对OCSP封套不满意,让浏览器向你发送报告。可以自行收集报告,或使用我的服务report-uri.io替你收集。如果你启用了OCSP Must-Staple,就能了解遇到问题的频次到底如何。

由于添加HSTS preload列表不如我希望的那么简单,我还写了一个规范,定义一个新的名为“Expect-Staple”的安全报头,以提供同样的功能,但减少了工作量。现在你可以在启用Must-Staple之前,设置该报头,并启用报告机制、以获得我们迫切需要的反馈。启用报头很简单,就像启用其他所有安全报头那样:

1 Expect-Staple: max-age=31536000; report-uri="https://scotthelme.report-uri.io/r/d/staple"; includeSubDomains; preload

未授权证书

我们在探讨吊销话题时要考虑的另一个方面是未授权证书(rogue certificate)。要是有人设法危及CA或以其他方式获得不该拥有的证书,我们该如何知道这个情况?

如果我现在攻入了CA,获得了你网站的证书,又没有告诉你,除非此事被广泛报道,否则你蒙在鼓里。你可能甚至面临内部威胁,贵企业中某个人可能不用走适当的内部渠道就能获得证书,可以随意处理证书。我们需要有办法确保透明度达到100%,我们很快会如愿以偿,这归功于名为Certificate Transparency的开放框架。

Certificate Transparency

Certificate Transparency是一个新的要求,明年初起将是强制性要求,将要求所有证书都记录在公共日志中,如果浏览器要信任它们的话。你可以阅读该文,了解Certificate Transparency的更多详细信息,但通常发生的情况是,CA会将它颁发的所有证书记录在Certificate Transparency日志中。

wzatv:HTTPS证书吊销机制已坏,是时候需要一些新工具了

Certificate Transparency日志

这种日志是完全公开的,任何人都能搜索它们,所以其想法是,如果证书是颁发给你网站的,你会了解相关情况。比如在这里(https://crt.sh/?q=scotthelme.co.uk),你可以看到为我域颁发的所有证书,您还可以搜索自己的证书。还可以使用SSLMate的CertSpotter来搜索证书。此外,我使用Facebook Certificate Transparency Monitoring工具,每当为你域分发了新的证书,该工具会发电子邮件通知你。

Certificate Transparency是个很棒的想法,我迫不及待地希望它成为强制性要求,但它只是第一步。了解这些证书虽好,但吊销证书方面仍存在所有上述问题。话虽如此,我们每次只能解决一个问题;如果我们不知道需要吊销的证书,世界上再好的吊销机制也无济于事。Certificate Transparency至少在这方面给了我们许多。

Certificate Authority Authorization

阻止证书颁发比试图吊销证书要容易得多,这正是Certificate Authority Authorization(证书管理机构授权)让我们开始做的事情。简单来说,我们现在可以授权只有特定的CA为我们颁发证书,而不像现在我们根本无法表明任何偏好。就像创建DNS记录一样简单:

1 scotthelme.co.uk. IN CAA 0 issue "letsencrypt.org"

虽然CAA不是一种特别强大的机制,它在误颁发的情况下无助于事,但是在一些情况下它能帮助我们,我们可以通过创建CAA记录来表明我们的偏好。

结束语

目前有个真正的问题:如果有人获得了我们的私钥,我们无法吊销证书。想象一下,要是下一个Heartbleed出现,那会是怎样的场面?为了限制破坏所造成的影响,你能做的事情之一是,缩短你获得的证书的有效期。改用一年或更短,而不是三年。Let's Encrypt只颁发有效期只有短短90天的证书!如果证书的生命周期缩短,即使你中了招,问题也不大,因为攻击者在证书过期之前滥用证书的时间较短。除此之外,我们几乎无计可施。

为了表明这个问题及其严重性,可以访问我在本人网站上创建的新子域:revoked.scotthelme.co.uk。你可能猜到了,这个子域名使用已吊销的证书,它很可能会顺利加载。要是没有,你又确实收到了关于证书已过期的警告,那么你的浏览器仍在执行OCSP检查,你只要告诉CA要访问我的网站。

(责任编辑:本港台直播)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
栏目列表
推荐内容