糗大了：国内CA机构沃通给子域名颁发乌龙SSL证书

米铺子

糗大了：国内CA机构沃通给子域名颁发乌龙SSL证书

2016-9-2 23:45:51来源：freebuf作者：-责编：刀马评论：76

[size=1pc]传统的电子证书管理系统其实是互联网上最薄弱的一环，用户们盲目相信全球的CA机构能够保护他们的机密和个人信息的完整性。但是，这些证书机构能够为任何你所拥有的域名颁发合法的SSL证书，也不会管你有没有在其他的证书机构购买过。这是CA系统中最大的漏洞。而最近的这起事件中，沃通在没有审核域名归属的情况下，就为某申请者颁发了一张SSL证书。

[size=1pc]事件经过

[size=1pc]沃通(WoSign)是一家国内的证书签发机构，公司自称是中国最大的国产品牌数字证书颁发机构，中国市场占有率超过70%，拥有全球信任的顶级根证书。

[size=1pc]这起事件由英国的Mozilla程序员Gervase Markham发布在Mozilla的安全政策邮箱列表里，据他说，这样的情况从2015年7月就开始了，他一直没有上报。

[size=1pc]Markham在邮件列表里称，2015年6月，有申请者发现沃通免费证书服务存在问题，只要申请者证明他们拥有子域名，沃通就会给他们颁发根域的证书。这名申请者本来是想要申请一张’med.ucf.edu’的证书，不小心写成了，’www.ucf.edu‘，结果沃通居然同意了，颁发了一张根域名的证书给他。

[size=1pc]为了进一步测试，研究人员用同样的方法针对Github的根域名实施了欺骗，众所周知，GitHub是可以支持用户创建自己的{username}.github.io子域名的。因此，当申请者证明自己有子域控制权后，沃通同样分发了GitHub根域名的证书。

[size=1pc]研究人员向沃通报告了这个情况，并以GitHub为例，结果沃通只是吊销了GitHub的证书。之所以只吊销了一个证书，可能是因为沃通没有能力再去一个一个追踪所有误发的根证书。研究人员最近联系上了Google，并且报告了ucf.edu证书一年之后还没有被吊销的问题。

[size=1pc]防御方法

[size=1pc]证书是一家网站与访客建立安全通信的渠道，证书遭到泄露，会危及用户安全造成严重后果。攻击者可以利用虚jia证书进行中间人攻击从而劫持用户。

[size=1pc]实际上为了防止这类事件的发生，有一个公共服务机制叫做证书透明，这个机制能够让个人用户和公司检查他们的域名一共被签发了多少张证书。

[size=1pc]

                               
登录/注册后可看大图

[size=1pc]证书透明就是让证书机构们公开他们所发布的每一张证书。实际上沃通也参加了这个机制。

[size=1pc]虽然这个机制不能防止CA颁发假的证书，但是它能够使得伪造证书的检测更加方便。目前，Google，赛门铁克、DigiCert等CA都在参与维护公共证书透明日志。

[size=1pc]你可以使用Google或Comodo的证书透明查询工具查询你的域名下所有的证书。