谷歌研究人员近期仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题。不过在这个时候却有其他安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时并未按照规定操作。
该研究人员注册新域名后向赛门铁克和科莫多申请证书,在此过程中两家公司都给签发了数字证书。紧接着这名研究人员伪造对应证书的伪造私钥上传 Pastebin 网站,然后开始向赛门铁克和科莫多申请撤销证书。
正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。因此赛门铁克在收到这名研究人员的申请后立刻吊销证书,而科莫多在收到申请后却没有将对应证书吊销。但别忘了本身研究人员发给赛门铁克的就是伪造私钥, 赛门铁克直接吊销了证书说明该公司并没有去验证私钥。
按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。但是赛门铁克在未经验证的情况下直接将证书吊销, 这个操作不但不符合要求而且还可能造成极大的危害。例如研究人员直接伪造私钥后向赛门铁克申请吊销搜狗的证书, 赛门铁克就会直接吊销。随后,大家在访问搜狗时就会直接出现拦截提醒, 因为搜狗证书已被作废并不再被任何浏览器信任。
当然如果真的去申请吊销大公司的证书不大可能实现, 但是如果去申请吊销中小网站的搞不好就真的会成功。谷歌和 Mozilla 要求赛门铁克改善基础设施提高安全,同时谷歌也提出需要对赛门铁克执行惩罚性措施。目前,惩罚性措施主要包括缩短赛门铁克签发证书的有效期, 同时还包括暂停信任赛门铁克的 EV 扩展验证证书。
稿源:蓝点网,封面源自网络
from hackernews.cc.thanks for it.