证书机构(CA)正大力宣传伦敦网络协议,以提高使用组织验证(OV)和扩展验证(EV)SSL证书加密的网站的安全性——但是浏览器会支持它吗?
SSL行业为何如此特别,伦敦网络协议就是一个能说明这一问题的很好的例子。一个行业内的前五大公司聚集到一起,试图解决其销售的产品的问题,这种情况还十分罕见。但这却是实实在在正在发生的事情:由CA安理会牵头,Comodo、Entrust、GlobalSign、GoDaddy和Trustwave已经结盟共同支持伦敦网络协议——一项旨在改进身份证明证书(OV和EV证书)的正式倡议。
此倡议是根据它首次提出的地点来命名的——在本月初于伦敦举行的证书机构/浏览器论坛(CAB论坛)面对面会议。
作为Entrust的策略副总裁,Chris Bailey写道:
“我们行动的起源来自于HashedOut一份报告,该报告指出“在2016年1月1日到2017年3月6日之间,Let’s Encrypt证书机构总共签发了15270个包含‘PayPal’字样的SSL证书。Let’s Encrypt的这些证书都被签发给了不法分子,而这些不法分子会在其域名中使用“PayPal”字样来骗取在线用户发送其个人数据——换句话说,来窃取他人的身份。这些由Let’s Encrypt所签发的证书无一例外都是域名验证证书,这意味着它们可以被签发给匿名网站,因为签发流程是100%自动化的。”
现在,让我们来具体谈一谈此伦敦网络协议吧,为什么CA会提出该协议,以及该协议将会带来何种影响。
伦敦网络协议背后的情况
尽管我们很想把功劳记在自己的身上,但除了一些糟糕的PayPal证书之外,还有其他很多恶意的证书问题需要解决。目前,扩展验证SSL证书的处境是十分危险的。其中部分原因在于在过去大概一年时间中所发生的两起事件,在这两起事件中,颇具进取精神的安全研究人员创建出了两家虚构的公司,然后利用所制造出的混乱局面创建了与另一个EV证书相同或相似的EV证书。
在一个例子中,Ian Carroll创建了一个名为Stripe in Kentucky的公司,然后获得了一个与Stripe支付公司的EV证书没有任何区别的扩展验证证书。在另一个例子中,James Burton创建了一个名为“Identity Verified”的公司,然后获得了一个有可能误导用户的EV证书。这两个证书都没有造成任何影响,并且这两个例子还显示出,为了获取EV验证证书,网络钓鱼者所需要经过的长度,考虑到大多数钓鱼网站的平均生命周期都不会超过15个小时,这似乎不太可能实现。
Burton在Mozilla开发人员安全论坛(Mozilla.Dev.Security forum)写道:
“EV的寿命是向上天借来的,而弃用EV是目前最合理的可行解决方案,并且它也能使我们在摒弃过去旧的网络安全框架中又向前迈进一步。既然我和Ian现在都已经演示了EV的基本问题以及它在UI中显示的方式,利用EV进行网络钓鱼只是时间的问题。”
现在,让我们试着忽略浮夸的陈述,把注意力集中在实质上来。首先,该行业内的一些有影响力的人已经注意到了弃用EV这一问题。谷歌已经没有在Chrome移动设备上显示EV了,并且已经试图移除EV在Chrome桌面的唯一标志——通常被称为绿色地址栏——而且声称将移除所有EV标志。苹果可能也会对其移动和桌面浏览器Safari的未来版本采取同样的措施。
威胁是真实存在的。
其次这件事是假的。James Burton并没有打开了一些闸门,现在已经出现了一系列的EV网络钓鱼事件。事实上,恰恰相反。在研究了一个月的网络钓鱼活动之后,研究人员发现,只有0.05%(三家)的HTTPS钓鱼网站使用了EV证书。这表明利用EV的网络钓鱼被严重夸大了。
什么是伦敦网络协议?
伦敦网络协议是CA的一项提议,目的是改进组织验证和扩展验证SSL证书。它要求已签署合作协议的各CA机构进行前所未有的合作,共享数据,以使OV和EV证书更加安全。
它的目的是:
“提高身份证明保证,并尽量减少在由OV(组织验证)和EV(扩展验证)证书(统称为“身份证明网站”)加密的网站上的钓鱼活动。伦敦网络协议强化了身份证明网站之间的区别,这使得对用户来说这些网站比使用DV(域名验证)证书来进行加密的网站更安全。然后,其他人就可以利用这个安全特性来实现自己的安全目的,包括通知用户他们正在访问的网站类型,以及在其安全算法中反网络钓鱼引擎和浏览器过滤器的使用情况。”
已签署合作协议的CA已同意采取以下步骤:
1. 监控他们已出售OV或EV证书给之的网站的网络钓鱼行动。
2. 通知上述网站发现了网络钓鱼活动并提供补救指导。
3. 设立一个常用数据库,以帮助减低未来的网络钓鱼行动。
该网络协议目前计划分四个阶段进行,从6月开始,到2019年3月结束。
伦敦网络协议会有效吗?
在这一点上很难说。坦率地说,这完全取决于一小撮人的心血来潮——有些人甚至不愿意进行这样的讨论,这对他们来说是唯恐避之不及的。
同时伦敦网络协议也不乏批评者。上月,拥有属于其自己的同名CA的DigiCert,以及赛门铁克、GeoTrust、Thawte和RapidSSL正式宣布将退出CA机构,并提出了一个解决身份证明证书问题的不同方法。
从我们的角度来看,这是很好的一步——值得付出的努力——但它只是在治疗一个症状,而不是解决问题的根本原因。我们可以理解为什么DigiCert认为这个倡议没有抓住要点。
身份证明证书,特别是扩展验证证书,需要进行合法的改进,而不只是简单地提供售后网络钓鱼监控服务。针对上述发生证书碰撞的情况,还需要对两个案例进行一些改进,以便进行进一步的验证和讨论。
如果有任何迹象表明谷歌和苹果浏览器将会推出高级版,那么这些对话就需要进行。
我们支持伦敦网络协议,以及任何可以让拥有身份证明的网站变得更安全的事情,这是毫无疑问的。但是,为了解决身份证明证书的问题,尤其是EV证书的问题,伦敦网络协议需要成为一个更大的计划的一部分。这可能不是整个计划本身。
此外,如果没有浏览器社区的支持,这一切都没有任何意义。
不过,这仍旧是一个好的开始。希望参与的CA机构所显示出来的协作精神能够带来更多更好的东西。
