I bug del Software e false interpretazioni di standard di settore sono al centro della maggior parte dei casi in modo non corretto-ha emesso i certificati SSL — che rappresentano il 42% di tutti gli incidenti –, un recente studio accademico ha scoperto.
La ricerca, creato da un team della Scuola di Informatica e Informatica presso l’Indiana University di Bloomington, guardò 379 istanze di misissued certificati SSL — da un totale di oltre 1.300 noti incidenti.
Accademici riuniti incidente di dati da fonti pubbliche come Mozilla Bugzilla tracker e Google Groups forum di discussione per Firefox e Chrome browser team di sicurezza.
Lo scopo di questa ricerca è stato quello di esaminare come le Autorità di certificazione (Ca) ha aderito agli standard di settore, e che è la causa più comune dietro misissued certificati SSL.
CAs sono organizzazioni che vendi o offrire gratuitamente i certificati SSL. Questi certificati SSL sono poi utilizzato per crittografare le comunicazioni tra client e server in forma di connessioni HTTPS.
CA attività è disciplinata dal CA/B Forum, un gruppo del settore, fatto di browser e sistema operativo del caffè e il CAs stessi.
Il CA/B Forum pubblica e aggiorna le linee guida del settore che dettano il modo corretto per l’emissione di certificati SSL.
Negli anni, CAs che hanno più passi falsi in cui essi certificati emessi senza attenersi alle regole. Ci sono stati casi in cui CAs hanno rilasciato i certificati SSL, che sono stati utilizzati per eseguire man-in-the-middle (MitM), gli attacchi e intercettare il traffico HTTPS; sono stati utilizzati per malware operazioni; o CAs certificati emessi senza seguire le procedure standard-a causa di errori umani, incidenti, o a tagliare i costi e aumentare i profitti.
CAs sono stati osservati anche retrodatazione certificati SSL per evitare l’obsolescenza di linee temporali; il rilascio di certificati SSL, senza verificare che l’acquirente è un legittimo persona/azienda; o emessi certificati SSL, che hanno utilizzato debole o non conforme algoritmi.
Immagine: Serrano et al.
Ma secondo il team presso l’Indiana University di Bloomington, la maggior parte degli incidenti in modo scorretto-ha emesso i certificati SSL era stato causato da un bug del software.
Di 379 casi analizzati, 91 (24%) era stato causato da un bug nel software una delle CA piattaforma software, con conseguente clienti che ricevono non conforme dei certificati SSL.
La seconda causa più comune era il CAs di una cattiva interpretazione CA/B regole del Forum, o il CAs essere inconsapevoli che una regola è stata modificata. Questo rappresentava il 69 casi o 18% di tutti gli incidenti di misissued certificati SSL.
Il primo caso di una doppia causa principale per SSL misissuance classificata solo terza. Accademici, ha detto che in 52 casi di misissued certificati SSL — o 14% di tutti gli incidenti analizzati — CAs intenzionalmente mettere i profitti più di conformità e di regole del settore.
“Esempi di questi sono di retrodatazione SHA-1 certificati al fine di eludere il divieto, la carica per la revoca del compromesso certificati digitali, vendita di certificati per l’Uomo-in-the-Middle (MITM) tentativi, e il potenziale (o reali) rilascio di falsi certificati,” i ricercatori hanno detto. “Va da sé che in questa categoria sono presentate le più allarmante di incidenti per quanto riguarda CAs’ casualità o la mancanza di etica”.
La quarta causa più comune è stato errore umano, con 37 casi (10% del totale).
Quinto classificato errori operativi, dove l’errore è stato in una CA difettoso procedure interne, piuttosto che un software o un errore umano. Questo rappresentava il 29 casi o 8% di tutti i casi.
La sesta causa principale è stata “non ottimali richiesta di controllo”, un termine che ha descritto gli errori compiuti nella verifica dell’identità del cliente, che di solito permette un finto cliente spacciarsi per un’altra entità, ad esempio, un autore di malware ottenere un certificato SSL per una società legittima. I ricercatori hanno trovato 24 episodi di questo tipo, con un’incidenza del 6% di tutti SSL misissuance incidenti.
Il settimo più comune causa principale per misissued certificati SSL è “improprio controlli di sicurezza,” una categoria generica che comprendeva tutti i casi di CAs ottenere hacked o perdere il controllo della loro infrastruttura per consentire a terze parti per ottenere i certificati SSL.
Altre cause per SSL misissuance incluso cambiamento di Requisiti di base [BR] (quando CAs ritardata applicazione di una CA/B Forum il cambiamento delle regole); i problemi di infrastruttura (quando CAs aveva server non disponibili, difettoso reti, o problemi di hardware, ma hanno ancora rilasciato un certificato); e i vincoli organizzativi (quando CAs operato sotto stretto nazionale/le regole di governo che erano incompatibili con la CA/B regole del Forum).
In base ai dati ricercatori compilato, la cima più problematico CAs incluso il calibro di StartCom, WoSign, DigiCert, PROCERT, Comodo (ora Sectigo), Quo Vadis, VISA, GoDaddy, Certum, Camerfirma, e SwissSign.
Immagine: Serrano et al.
Inoltre, i ricercatori hanno detto che “le dieci Radice con la maggior parte degli incidenti correlati ad essi cercavano quasi la metà di questi incidenti, rivelando che poche mele marce, sono al centro della maggior parte dei problemi di CA paesaggio.
Hanno suggerito che queste entità “dovrebbe essere severamente penalizzato per scoraggiare, dal momento che abbiamo scoperto che è un diffuso comportamento del CAs.”
Questo articolo riassume i ricercatori di lavoro. Per una analisi più approfondita, si prega di consultare il team di ricerca è di 45 pagine di un libro bianco dal titolo “Uno Studio Completo di P. K. I. (PKI Noti Incidenti).”
Sicurezza
DNS-over HTTPS provoca più problemi di quanti ne risolva, dicono gli esperti
FBI mette in guardia circa gli attacchi di bypassare l’autenticazione multi-factor (MFA)
White-hat hack Muhstik ransomware gang e rilascia le chiavi di decodifica
Mark Zuckerberg pensa così frainteso (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Maggior parte delle aziende Fortune 500 ancora opachi sulle misure di sicurezza (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati