前段時(shí)間，荷蘭的一家名為DigiNotar 的證書(shū)授權(quán)機(jī)構(gòu)被黑客入侵，成為了轟動(dòng)一時(shí)的大新聞。這個(gè)事件之所以轟動(dòng)，是因?yàn)樗蔀榱爽F(xiàn)實(shí)中引發(fā)嚴(yán)重安全問(wèn)題的典型事件，CA機(jī)構(gòu)被入侵，所有的網(wǎng)民都可能被波及。而在DigiNotar之前幾個(gè)月，另一家認(rèn)證機(jī)構(gòu)Comodo也遭到了入侵，生成了部分偽造的證書(shū)。在本文中，我會(huì)簡(jiǎn)要的介紹一下整件事，以及證書(shū)是如何工作的，作為IT管理者你該如何做才能確保你的企業(yè)和客戶在類似情況下不受到波及。

首先你大概知道SSL連接過(guò)程是需要證書(shū)參與的。而這樣的證書(shū)不應(yīng)該是自己頒發(fā)給自己的，否則沒(méi)人會(huì)相信這樣的證書(shū)。自己簽發(fā)的證書(shū)除了內(nèi)部測(cè)試之類的用途外，基本沒(méi)有可供實(shí)際使用的價(jià)值。如果一個(gè)企業(yè)的IT管理員需要建立一個(gè)安全的網(wǎng)站，首先需要建立一個(gè)被稱為證書(shū)簽發(fā)請(qǐng)求(CSR)的文件，里面包含了網(wǎng)站運(yùn)行的相關(guān)信息，負(fù)責(zé)人和相關(guān)企業(yè)的信息和聯(lián)系方式等內(nèi)容。之后，管理員將這個(gè)請(qǐng)求發(fā)送給公共認(rèn)可的證書(shū)頒發(fā)機(jī)構(gòu)(CA)。

這個(gè) CA機(jī)構(gòu)，或者一般來(lái)說(shuō)其下屬的分支機(jī)構(gòu)，會(huì)根據(jù)企業(yè)提交的請(qǐng)求，使用自己的私有密鑰簽署一份證書(shū)，經(jīng)過(guò)驗(yàn)證后企業(yè)就有權(quán)擁有某個(gè)域名了。反過(guò)來(lái)，這些CA機(jī)構(gòu)自己的證書(shū)則是由更高級(jí)的CA機(jī)構(gòu)頒發(fā)的，這些證書(shū)都是被各大網(wǎng)站認(rèn)可的。這就是所謂的證書(shū)等級(jí)。

由此問(wèn)題就產(chǎn)生了。在我們每個(gè)人的瀏覽器中都儲(chǔ)存了上百個(gè)受信的CA，每個(gè)CA都可以給任意網(wǎng)站頒發(fā)證書(shū)。這意味著，如果其中某個(gè)CA被黑客入侵，并將該CA的私有密鑰公布，那么所有黑客都可以利用這個(gè)密鑰為任何網(wǎng)站制作許可證，瀏覽器會(huì)將這些網(wǎng)站認(rèn)定為合法有效。更糟糕的是，黑客可以利用這個(gè)密鑰制作用于任何目的的證書(shū)，包括電子郵件簽名，加密的VPN連接等。

但是得到了證書(shū)后該怎么攻擊呢?黑客要想利用自己制作的證書(shū)，需要攔截網(wǎng)絡(luò)數(shù)據(jù)，并將他們自己的偽造證書(shū)嵌入其中，也就是進(jìn)行Man-in-the-Middle (MitM)中間人攻擊。DigiNotar的案例中，黑客就是這樣做的。伊朗政府的所有境外網(wǎng)絡(luò)數(shù)據(jù)流都要通過(guò)代理服務(wù)器，而通過(guò)制造偽造的證書(shū)，黑客可以進(jìn)入任何一個(gè)伊朗網(wǎng)民的Gmail賬戶，銀行賬戶，或任何一個(gè)加密連接，因?yàn)楹诳蛽碛惺苄诺拿荑€，并可以為任何網(wǎng)站制作證書(shū)簽發(fā)請(qǐng)求CSR。

針對(duì)這種威脅的實(shí)際解決方案很復(fù)雜，比如廣泛使用在線安全認(rèn)證協(xié)議(OSCP)或使用可信網(wǎng)絡(luò)，同時(shí)這些方案都需要對(duì)網(wǎng)絡(luò)設(shè)計(jì)進(jìn)行較大的改動(dòng)。目前為止，瀏覽器廠商的主要解決方案就是在事發(fā)后盡快推出針對(duì)某個(gè)CA的安全補(bǔ)丁。比如DigiNotar被攻擊后，所有主流瀏覽器都進(jìn)行了升級(jí)，在瀏覽器中保存的CA列表被更新，具體來(lái)說(shuō)就是將被攻擊的CA從受信的CA列表中去除。通過(guò)這個(gè)動(dòng)作，那些由DigiNotar 簽發(fā)證書(shū)的網(wǎng)站將不再被瀏覽器認(rèn)作是合法可靠的網(wǎng)站。但這并不是最佳的解決方案，因?yàn)閺腃A被攻陷到瀏覽器發(fā)布相應(yīng)補(bǔ)丁，中間歷時(shí)可能有數(shù)個(gè)月。

減輕威脅

另一方面，我們有方法可以降低這種威脅對(duì)我們的影響。首先，假如你的公司所處的網(wǎng)絡(luò)使用環(huán)境相對(duì)封閉，也就是員工們?cè)L問(wèn)的網(wǎng)站都是比較特定的幾個(gè)網(wǎng)站，比如美國(guó)的普通公司員工很少會(huì)訪問(wèn)位于中國(guó)或香港臺(tái)灣的網(wǎng)站，那么就不需要讓員工的瀏覽器信任來(lái)自中國(guó)或者香港臺(tái)灣的CA所頒發(fā)的證書(shū)。作為管理員，你可以通過(guò)以下界面手動(dòng)刪除部分不常用的CA。

但是這種方法并不能完全避免此類攻擊事件。所以瀏覽器才會(huì)有所謂的不良網(wǎng)址警報(bào)功能這樣的擴(kuò)展插件，確保網(wǎng)站的證書(shū)是正確的，并且網(wǎng)頁(yè)中不存在惡意代碼。比如FireFox的CertPatrol 擴(kuò)展。當(dāng)用戶訪問(wèn)安全網(wǎng)站時(shí)，該擴(kuò)展插件會(huì)記錄下該網(wǎng)站的證書(shū)指紋。當(dāng)用戶下次再訪問(wèn)該站點(diǎn)時(shí)，擴(kuò)展插件會(huì)對(duì)比前后兩次的證書(shū)指紋。如果兩者不一致，用戶會(huì)看到警告信息。比如某個(gè)網(wǎng)站的證書(shū)還有六個(gè)月才過(guò)期，但是卻突然更換了證書(shū)，這就很可疑了。又比如，如果你以前訪問(wèn)過(guò)的網(wǎng)站的證書(shū)是VeriSign簽名的，但是現(xiàn)在重新訪問(wèn)時(shí)發(fā)現(xiàn)其證書(shū)是挪威某家不知名的CA簽發(fā)的，那么就更可疑了。

Chrome 開(kāi)發(fā)人員也開(kāi)發(fā)出了用于Chrome 瀏覽器的擴(kuò)展插件。Google下屬的各個(gè)網(wǎng)站均采用某幾個(gè)受信CA的簽名證書(shū)，而Chrome也知道這些CA。比如某個(gè)偽裝成Gmail信箱的網(wǎng)站使用了某個(gè)CA證書(shū)，但該CA與Chrome中記錄的Gmail正常使用的CA不同，那么Chrome不允許用戶訪問(wèn)該站點(diǎn)。因此，如果企業(yè)在辦公環(huán)境下經(jīng)常使用Google Apps，那么最好換成Chrome瀏覽器比較安全。

最后需要強(qiáng)調(diào)的是，此類安全問(wèn)題并不是普通的可以通過(guò)補(bǔ)丁完全修復(fù)的問(wèn)題。而要實(shí)施攻擊，黑客也必須做出相當(dāng)?shù)呐?，比如通過(guò)惡意軟件入侵用戶電腦，繞過(guò)防火墻保護(hù)，或者改變用戶使用的DNS。這些方式的攻擊都需要用戶提前做好防范措施，比如企業(yè)可以在DNS服務(wù)器中為業(yè)務(wù)常用的網(wǎng)站設(shè)置靜態(tài)IP地址，比如合作伙伴公司的網(wǎng)址，網(wǎng)絡(luò)支付系統(tǒng)的網(wǎng)址等，這樣做可以防止釣魚(yú)網(wǎng)站利用偽造的CA證書(shū)欺騙瀏覽器和用戶。

DigiNotar公司的案例在未來(lái)還會(huì)發(fā)生。因?yàn)槿蛴猩习偌褻A，找一個(gè)安全防護(hù)措施比較薄弱的分支機(jī)構(gòu)還是很容易的，而且黑客都有鍥而不舍的精神。而就算這樣的攻擊事件再次發(fā)生，也不意味著你或者你的企業(yè)就一定會(huì)受到波及。通過(guò)上面我提到的一些防范手段，可以盡可能降低此類攻擊對(duì)企業(yè)日常業(yè)務(wù)的影響。