大多数SSL证书签发错误的主要原因是软件错误

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

最近的一项学术研究发现,软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因,其所占比例高达所有错误事件的 42%。

这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,他们研究了 379 起 SSL 证书签发错误的实例,并总共发现了 1300 多个事件。

研究人员从公共资源收集了事件数据,例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及 SSL 证书签发错误背后的最常见原因。

研究小组得出了一个结论,即“大多数错误签发 SSL 证书的事件都是由软件错误引起的”。

在他们分析的 379 个案例中,有 91 个(占 24%)是由 CA 的一个软件平台中的软件错误引起的,导致客户收到不兼容的 SSL 证书。

第二个最常见的原因是 CA 误解了 CA/B 论坛规则,或者 CA 不知道规则已更改,有 69 起案件是这种情况,占所有 SSL 证书签发错误事件的 18%。

而恶意根 CA 导致的问题数据占比排在第三位,有 52 个 SSL 证书签发错误案例(占所有分析事件的 14%)是 CA 故意作恶,为了利润而破坏了行业规则,比如他们会给中间人攻击者出售证书。

第四大最常见的原因是人为错误,有 37 例(占总数的 10%)。

第五位是操作错误,其中错误是由于 CA 的内部程序错误,而不是软件或人为错误,这占了 29 例,占所有案例的 8%。

第六个根本原因是“非最佳请求检查(non-optimum request check)”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了 SSL 证书合法的公司。研究人员发现了 24 个此类事件,占所有 SSL 签发错误事件的 6%。

SSL 证书签发错误的第七个最常见的根本原因是“不正确的安全控制”,这是一个通用类别,其中包括所有 CA 被黑或失去对其基础结构的控制以允许第三方获得 SSL 证书的情况。

详情可以查看该研究报告:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3425554

本文原标题:大多数 SSL 证书签发错误的主要原因是软件错误

本文原地址:https://www.oschina.net/news/110541/most-ssl-certificate-misissuance-caused-by

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码新闻资讯门户 » 大多数SSL证书签发错误的主要原因是软件错误

赞 (0)

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址