Software fejl og fejlfortolkninger af industri-standarder er i hjertet af de fleste tilfælde af forkert-SSL-certifikater, der er udstedt — tegner sig for 42% af alle hændelser — et nyere studie har fundet frem til.
Den forskning, forfattet af et hold fra institut for Informatik og Computing på Indiana University Bloomington, kiggede på 379 tilfælde af misissued SSL-certifikater-fra i alt over 1300 kendte episoder.
Akademikere samlet hændelse data fra offentlige kilder såsom Mozilla ‘ s Bugzilla tracker og Google Grupper, diskussionsfora for Firefox og Chrome browser security teams.
Formålet med denne forskning er at se på, hvordan Certifikat Myndigheder (CAs) levet op til branchens standarder, og hvad er den mest almindelige årsag bag misissued SSL-certifikater.
CAs er organisationer, der sælger eller leverer gratis SSL-certifikater. Disse SSL-certifikater er derefter brugt til at kryptere kommunikation mellem klienter og servere i form af HTTPS-forbindelser.
CA aktivitet er omfattet af CA/B-Forum, en industri gruppe, der består af browser og OS producenter, og CAs sig selv.
CA/B Forum udgiver og opdateringer industri retningslinjer, der dikterer den rigtige måde til at udstede SSL-certifikater.
I løbet af de år, at CAs har haft flere fejltrin, hvor de udstedte certifikater uden at overholde disse regler. Der har været tilfælde, hvor CAs har udstedt SSL-certifikater, der er blevet brugt til at udføre man-in-the-middle (MitM) angreb, og opfange HTTPS-trafik, der har været anvendt til malware-operationer, eller CAs-certifikater, der er udstedt, uden at følge standard-procedurer — på grund af menneskelige fejl, uheld, eller for at reducere omkostningerne og øge indtjeningen.
CAs har også været observeret tilbagevirkende kraft SSL-certifikater, for at undgå afskrivninger tidsplaner; at udstede SSL-certifikater, uden at kontrollere, at køberen er en legitim person/virksomhed, eller er udstedt SSL-cert, der har brugt er svage eller ikke-kompatible algoritmer.
Billede: Serrano et al.
Men ifølge team på Indiana University Bloomington, de fleste af de tilfælde af forkert-SSL-certifikater, der er udstedt havde været forårsaget af software fejl.
Af de 379 tilfælde har de analyseret, 91 (24%) var forårsaget af software fejl i en af CA ‘ s software platform, hvilket resulterer i kunder, der modtager ikke-kompatible SSL-certifikater.
Den anden mest almindelige årsag var den CAs fejlfortolke CA/B Forum regler, eller CAs-at være uvidende om, at en regel, der havde ændret sig. Dette tegnede sig for 69 tilfælde, eller 18% af alle tilfælde af misissued SSL-cert.
Det første tilfælde af en ond årsagen til SSL misissuance placeret kun en tredjedel. Akademikere, der sagde, at i 52 tilfælde af misissued SSL-certifikater — eller 14% af alle analyserede hændelser — CAs bevidst sætte profit over overholdelse og industri regler.
“Eksempler på disse er foruddateringen SHA-1-certifikater, for at omgå forbuddet, gebyr for tilbagekaldelsen af kompromitterede digitale certifikater, salg af certifikater for Man-in-the-Middle (MITM) forsøg, og den potentielle (eller faktiske) udstedelse af rogue certifikater,” siger forskerne. “Det siger sig selv, at denne kategori præsenteres de mest foruroligende hændelser med hensyn til CAs’ misbehaviors eller mangel på etik.”
Den fjerde mest almindelige årsag var menneskelige fejl, med 37 sager (10% af det samlede antal).
Femte rangeret operationelle fejl, hvor fejl var, at han i en CA er fejlbehæftede interne procedurer, snarere end software eller menneskelige fejl. Dette udgjorde 29 sager, eller 8% af alle tilfælde.
Den sjette årsagen var “ikke-optimale anmodning ind,” et begreb, der er beskrevet fejl i at kontrollere identiteten af en kunde, der normalt giver en rogue kunde for at udgive sig for en anden enhed, f.eks. en malware forfatter at få et SSL-certifikat for en legitim virksomhed. Forskere har fundet ud af 24 sådanne hændelser, der tegner sig for 6% af alle SSL misissuance hændelser.
Den syvende mest almindelige årsag til misissued SSL-certifikater, der er “forkert sikkerhedskontrol,” en generisk kategori, der omfattede alle tilfælde af CAs-at blive hacket, eller at miste kontrollen over deres infrastruktur til at tillade en tredjepart at få SSL-certifikater.
Andre årsager til SSL misissuance i prisen ændring i basiskrav [BR] (når CAs har været i anvendelse af en CA/B Forum regel ændring); infrastruktur problemer (når CAs havde ikke tilgængelige servere, defekt netværk, eller problemer i hardware, men de stadig har udstedt en attest); og organisatoriske begrænsninger, (når CAs, der drives i henhold til strenge nationale/statslige regler, der var uforenelig med CA/B Forum reglerne).
Baseret på de data, som forskere udarbejdet, top mest problematiske CAs i prisen holder af StartCom, WoSign, DigiCert, PROCERT, Comodo (nu Sectigo), Quo Vadis, VISA, GoDaddy, om certum, Camerfirma, og SwissSign.
Billede: Serrano et al.
Forskerne sagde også, at “de ti Root CAs med de fleste hændelser, der er relateret til dem hamstres næsten halvdelen af disse hændelser”, der afslører, at et par dårlige æbler var i centrum for de fleste af de spørgsmål i CA landskab.
De foreslog, at disse enheder, “skulle blive alvorligt straffet for at afskrække dem, da vi fandt, at det er en udbredt adfærd i CAs.”
Denne artikel kan kun sammenfattet forskernes arbejde. For en mere dybdegående kig, bedes du henvise til den forskning, holdets 45-siders hvidbog med titlen “En Fuldstændig Undersøgelse af P. K. I. (PKI’ s Kendte Episoder).”
Sikkerhed
DNS-over-HTTPS skaber flere problemer end det løser, siger eksperter
FBI advarer om angreb, der bypass multi-faktor-autentificering (MFA)
Hvid-hat hacks Muhstik ransomware bande og udgivelser dekryptering nøgler
Mark Zuckerberg mener, at han er så misforstået (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
De fleste Fortune 500 selskaber stadig uigennemsigtige om sikkerhedsforanstaltninger (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre