分析揭示了错误签发SSL / TLS证书的最常见原因

我们应该能够信任公共密钥证书,但这是真实世界:错误和“mistakes” happen.

印第安纳大学布卢明顿分校的研究人员分析了379个报告的证书颁发失败实例,以查明最常见的原因以及导致这些情况发生的系统性问题。

关于公钥证书

公钥证书(又称数字证书)证明个人,实体或设备是公钥的合法所有者和用户。它们由证书颁发机构(CA)颁发,证书颁发机构(CA)既是证书所有者又是证书所有者(例如,基于HTTPS的网站的访问者)的受信任方。

CA有义务遵循特定准则来颁发和管理公共密钥证书,但是失败会发生,并且可能对所有利益相关者和最终用户造成严重后果。

研究揭示了什么?

公钥基础设施 被认为是值得信任的。研究人员指出,“它的密码基础牢固,定义了每个参与者的角色,硬件成熟并且应用程序接口被广泛使用。”

但是,有一些问题可能会削弱这种信任:易碎的算法(由于技术的进步)以及算法实现或支持数字证书颁发的业务系统或流程引起的漏洞。

的 analysis revealed that the most common causes of incidents/failures related to 认证机构 in the 公钥基础设施 network are:

  • 软件错误
  • 认证机构’不符合基准(CA / Browser论坛)或根程序(例如Microsoft,Apple,Google,Mozilla,Oracle,Adobe等的根目录)的要求
  • CA对于遵守上述要求(例如,数字证书的回溯,针对MITM尝试的颁发证书,无赖证书的颁发)的合规性表示出自己的兴趣。

错误发行的SSL / TLS证书

StartCom,WoSign,DigiCert,PROCERT和Comodo(最近更名为Sectigo)在出现问题的CA方面名列前茅,其次是QuoVadis,VISA,GoDaddy,Certum,Camerfirma和SwissSign。

整个 值得一读,因为它非常详细,还包括过去十年左右最著名的CA行为异常案例,以及PKI历史上主要事件的有用时间表。

研究人员’ conclusions

研究人员得出的结论之一是,就目前情况而言,Root计划的所有者在PKI彩票网app中拥有巨大的权力,他们应该使用它来惩罚那些将自己的福利置于公钥基础设施之上的CA。

“仅凭他们的独立决定,他们就可以终止CA的业务,尤其是如果多个Root计划的所有者与撤销的立场保持一致,” they noted.

“由于他们也是彩票网app浏览器的所有者,因此他们是彩票网app中的法官,陪审团和and子手。另一方面,如果在CA中检测到不当行为,但并非所有程序的所有者都同意将其大规模删除,则由于该决定可能导致客户流失,因此唯一所有者的删除可能对该所有者造成负面影响。可以携带;因此,如果根程序所有者之间未达成共识,则CA可能会保留其错误做法。”

的y have also proposed several solutions for 认证机构 and Root Program Owners to implement to improve trust in 公钥基础设施.

但是,最终,他们提出了一种更清洁的PKI方案,而没有那么多各方,他们的决策在将信任关系引入彩票网app还是提高利润之间进行权衡,这可能是未来的更好选择。

“毕竟,如今PKI的彩票网app依赖于这些实体,我们作为最终用户有义务信任它们,而没有任何可行的选择,” they added.

分享这个