搜尋此網誌

2010年4月5日 星期一

[技術分享] CA 憑證申請過程簡陋而易遭濫用

39882 根據 Betanews 文章的揭露,資訊安全專家 Kurt Seifried 將在下個月的 Linux Magazine 講解有關 CA 憑證申請易遭濫用的問題。簡單來說,步驟如下:

  1. 找尋一個免費的 webmail 服務供應商。
  2. 註冊一個帳號,例如 ssladmin。
  3. 到 RapidSSL.com 購買憑證,記得使用上述註冊的 email 帳號作為申請驗證的帳號。
  4. 完成後續的申請步驟。
  5. 步驟完成後你將會獲得這個 webmail 網域的合法憑證。

好吧,嚴格來說整個過程跟 CA 機制沒有關係,而是在於申請的流程中,CA 憑證發放單位為了便宜行事而採用了簡單的驗證機制,也就是僅檢查 email 帳號。email 會被竊取,對於 webmail 的網域來說更方便,甚至連竊取都不需要。對這些 CA 憑證發放的單位而言,越簡單方便的申請流程不但可以減省成本,還可以順便增加收入,所以何樂而不為。但是這樣的機制卻因為過於簡化而容易遭到濫用,或許是 CA 憑證發放單位始料未及的事情,也有可能是其已知卻不想去面對的問題。事實上,很多廠商在設計業務或產品時,都一再忽略安全的重要性,因為這些東西對大部分的客戶是沒有 (直接的) 價值、甚至是根本感覺不到的。即便是在安全產業內,這種現象也是很普遍,畢竟賺錢這個終極目標,對身處任何產業的公司來說都是一樣的。

事實上,要確認一個申請者是否真的擁有一個網域並不是那麼容易的事情,尤其是當申請的人可能來自於世界上的任何一個角落。以 Google 的服務而言,除了需要網域的 email 信箱外,也需要在網站的根目錄放置一個特殊內容的檔案,才能完成確認的動作。當然,駭客也有可能完成這樣的事情,但是機會相對來說已經減少了許多,更何況當駭客已經可以放置檔案到網站的根目錄,可能他已經有辦法取得網站的憑證,此時還需要自己再去申請一個嗎?此外,透過要求申請者在 DNS 加上一筆特定的記錄以確認網域的擁有權,也可以達到類似的保護作用。很多事情不是做不到,只是看廠商有沒有心思於此。

 

相關連結:

About