TLS Certs无视域名所有权对MitM和DoSUsed证书敞开大门,带来了重大风险

允许通过互联网进行安全数据交换的数字证书可以在域名所有权转移中继续存在,并且可以为之前的持有者打开恶意行为的大门

SSL / TLS证书依赖于公钥基础结构(PKI)模型,以确保信息安全地在线流动。这种方式的工作方式是Web服务器通过呈现数字证书与客户端浏览器建立可信连接。服务器身份验证后,与客户端的连接将被加密,敏感信息可以通过。

一些安全研究人员Ian Foster和Dylan Ayrey发现,在某些情况下,这些证书的有效性超出了域名的注册期限。当新所有者注册域时,初始所有者仍保留与其关联的SSL证书。

使用过的证书存在重大风险

其中一个风险是中间人(MitM)攻击,其中域的有效SSL证书将解密Web服务器和客户端之间的通信。

另一种可能性是在与主题替代名称相同的证书下定义其他域名时拒绝服务(DoS)。当备用站点不再由证书用户(也称为“过去域”)拥有时,“可以撤销具有易受攻击的alt-name和其他域的证书。如果共享证书仍在使用中,您就可以提供服务,“ 研究人员解释。

在2013年启动证书透明度(CT)项目之前,是无法检查证书历史记录的。CT是一个公共框架,记录公共证书颁发机构颁发的所有证书。它的数据库拥有超过5亿个证书并且不断增长。

该二人组使用了300万个域名和770万个证书的样本集来查找域名注册的预定日期,并在注册过期后仍然有效。在调查时,有150万个条目符合这些参数,其中25%没有过期。

所有者可以做些什么来保护他们的域名

根据证书颁发机构浏览器论坛的规则,该论坛为颁发和管理数字证书设定了行业准则,如果证书中的任何信息是或者变得不准确,则可以撤销。不幸的是,这个过程在所有情况下都不容易。

研究人员购买了一个过去的域名,然后试图撤销测试证书。许多证书运营商要求验证他们无法生成。

DigiCert要求他们回复发送到他们无法控制的地址的电子邮件; Comodo要求他们检查账户所有权; 让我们加密需要证明他们拥有相同证书下的所有域名。

在向Let's Encrypt指出冲突后,服务决定考虑更改策略。其他证书颁发机构可以效仿并审查其撤销的安全流程。

为了帮助所有者了解他们的域名是否会受到与SSL证书所有权相关的问题的影响,该二人组发布了BygoneSSL。该工具使用公开的DNS数据和证书透明度项目中的日志。

Foster和Ayrey在拉斯维加斯的Def Con黑客大会上展示了他们的发现。演示幻灯片可在此处获得

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/tls-certs-outliving-domain-ownership-open-door-to-mitm-and-dos/

扫码关注云+社区

领取腾讯云代金券