Buggar och problem och feltolkningar av branschstandard i hjärtat av de flesta fall av felaktigt utfärdade SSL-certifikat — står för 42% av alla incidenter — en färsk akademisk studie har upptäckt.
Forskning, författad av en grupp från institutionen för Informatik och datavetenskap vid Indiana University i Bloomington, tittade på 379 fall av misissued SSL-certifikat — från totalt drygt 1 300 kända incidenter.
Akademiker som samlats in händelsen uppgifter från offentliga källor, såsom Mozilla ‘ s Bugzilla tracker och Google Grupper diskussionsforum för Firefox och Chrome webbläsare säkerhet team.
Syftet med denna forskning var att titta på hur certifikatutfärdare (Ca) som följs av branschstandarder, och vad är den vanligaste orsaken bakom misissued SSL-certifikat.
CAs är organisationer som säljer eller erbjuder gratis SSL certifikat. Dessa SSL-certifikat används för att kryptera kommunikationen mellan klienter och servrar i form av HTTPS-anslutningar.
CA verksamhet regleras av CA/B-Forum, en bransch som består av webbläsare och OPERATIVSYSTEM beslutsfattare, och CAs sig själva.
CA/B Forum publicerar och uppdaterar industrin riktlinjer för att bestämma det korrekta sättet att utfärda SSL-certifikat.
Under åren, CAs har haft flera felsteg där de utfärdade certifikat utan att följa dessa regler. Det har förekommit fall där CAs har utfärdat SSL-certifikat som har använts för att utföra en mannen-i-mitten (MitM) attacker och avlyssna HTTPS-trafik, har använts för malware verksamhet, eller CAs utfärdade certifikat utan att följa normala förfaranden — på grund av mänskliga fel, olycka, eller för att sänka kostnaderna och öka vinsten.
CAs har också observerats antedatering av SSL-certifikat för att undvika avskrivningar tidslinjer, utfärda SSL-certifikat utan att kontrollera att köparen är en juridisk person/företag, eller som utfärdats av SSL-certifikat som används för svag eller icke-kompatibla algoritmer.
Bild: Serrano et al.
Men enligt forskarna vid Indiana University i Bloomington, de flesta fall av felaktigt utfärdade SSL-certifikat hade orsakats av fel i programvaran.
Av 379 fall de analyseras, 91 (24%) hade orsakats av fel i programvaran i en av CA: s programvara plattformen, vilket resulterar i att kunderna får icke-kompatibla SSL-certifikat.
Den näst vanligaste orsaken var CAs misstolka CA/B regler för Forumet, eller CAs-att vara omedveten om att en regel hade förändrats. Detta svarade för 69 fall, eller 18% av alla fall av misissued SSL-certifikat.
Det första fallet av en ondsint orsaken till SSL misissuance rankas först på tredje. Akademiker sade att i 52 fall av misissued SSL-certifikat, eller 14% av alla analyserade händelser — CAs-avsiktligt sätta vinsten över överensstämmelse och industri regler.
“Exempel på dessa är antedatering SHA-1 intyg för att undgå dess förbud, avgifter för återkallande av äventyras, digitala certifikat, säljer certifikat för Man-in-the-Middle (MITM) försök, och den potentiella (eller verkliga) utfärdande av falska certifikat,” forskarna säger. “Det säger sig självt att denna kategori presenteras de mest skrämmande händelser med avseende CAs-nummer misbehaviors eller brist på etik.”
Den fjärde vanligaste orsaken var den mänskliga faktorn, med 37 fall (10% av det totala antalet).
Femte rankade operativa fel, där misstag var att i en CA: s felaktiga interna processer, snarare än mjukvara eller mänskliga fel. Detta stod för 29 fall eller 8% av alla fall.
Den sjätte orsaken var “icke-optimal begära in”, en term som beskrivs de misstag som gjordes vid identitetskontroll av en kund, som i regel gör en skurk kunden utge dig för att vara någon annan enhet, exempelvis en malware författare att få ett SSL-certifikat för ett legitimt företag. Forskarna fann 24 sådana händelser, stod för 6% av alla SSL-misissuance incidenter.
Den sjunde vanligaste orsaken till misissued SSL-certifikat är “felaktig säkerhetskontroller,” en allmän kategori som ingick samtliga fall av CAs för att bli hackad eller att förlora kontrollen över sin infrastruktur för att låta en tredje part för att få SSL-certifikat.
Andra bakomliggande orsakerna för SSL misissuance ingår förändring i de grundläggande Krav som [BR] (när CAs släpat i att tillämpa en CA/B Forum regel ändra); infrastruktur problem (när CAs hade inte tillgänglig servrar, defekt nätverk, eller problem i hårdvara, men att de fortfarande har utfärdat ett intyg); och organisatoriska begränsningar (när CAs-som drivs enligt strikta nationella/statliga bestämmelser som är oförenliga med CA/B regler för Forumet).
Baserat på de data som forskarna sammanställt, den översta mest problematiska CAs ingår gillar StartCom, WoSign, DigiCert, PROCERT, Comodo (nu Sectigo), Quo Vadis, VISUM, GoDaddy, Certum, Camerfirma, och SwissSign.
Bild: Serrano et al.
Forskarna sade också att “de tio rotcertifikatutfärdare med i de flesta incidenter, relaterade till dem sparade nästan hälften av dessa incidenter,” avslöjar att några dåliga äpplen stod i centrum för de flesta av frågorna i CA landskapet.
De föreslog att dessa personer bör bestraffas hårt för att avskräcka dem, eftersom vi funnit att det är ett genomgående beteende i CAs.”
Denna artikel är endast sammanfattas forskarnas arbete. För en mer ingående titt, vänligen hänvisa till den forskning som lagets 45-sidan vitbok med titeln “En Fullständig Studie av P. K. I. (PKI är Kända Incidenter).”
Säkerhet
DNS-över-HTTPS orsakar mer problem än det löser, säger experterna
FBI varnar för attacker som bypass multi-faktor autentisering (MFA)
White-hat hacka Muhstik ransomware gänget och släpper dekryptering nycklar
Mark Zuckerberg tycker att han är så missförstådd (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
De flesta Fortune 500-företag fortfarande otydlig om säkerhetsåtgärder (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter