華盛頓郵報曾根據(jù)斯諾登泄露出來的PPT(圖1)報道過美國國家安全局(NSA)在云端監(jiān)聽Google(包括Gmail)和Yahoo用戶的加密通信[1]。然而我們知道Gmail是使用TLS保護的，NSA是如何破解Google的TLS加密通信的呢?

圖1. 美國NSA和英國GCHQ聯(lián)合計劃MUSCULAR中，NSA和GCHQ繞過TLS加密，在云端監(jiān)聽后端的明文通信。

1. 問題分析與測試

目前主流網(wǎng)站都依賴HTTPS(HTTP over TLS/SSL)實現(xiàn)服務(wù)器認證、數(shù)據(jù)加密和完整性保護，比如Google幾乎所有應(yīng)用都在HTTPS的保護之下。同時，主流網(wǎng)站也普遍使用了CDN(Content Delivery Network)技術(shù)(雖然有些互聯(lián)網(wǎng)公司使用自己開發(fā)的類似平臺，他們并不叫CDN這個名字)，用以提高網(wǎng)站的性能、可靠性和安全性。目前，HTTPS和CDN技術(shù)幾乎都已成為商業(yè)網(wǎng)站必須的基礎(chǔ)服務(wù)。

然而長期以來，HTTPS和CDN兩種技術(shù)的設(shè)計和發(fā)展是獨立的，HTTPS設(shè)計之初是一種端到端(End-to-End)的協(xié)議，而CDN卻是以中間人(Man in the Middle)的方式工作。原始網(wǎng)站如何如何授權(quán)給中間的CDN廠商、如何完成瀏覽器-CDN-原始網(wǎng)站之間的身份認證、秘鑰交換和數(shù)據(jù)保護，以及如何撤銷這種授權(quán)，無論學術(shù)界還是工業(yè)在以前都沒有沒有系統(tǒng)性的考慮。

我們在Oakland’14(IEEE Symposim on Security & Privacy)發(fā)表了論文“When HTTPS Meets CDN: A Case of Authentication in Delegated Service”[2]，首次提出了HTTPS在CDN環(huán)境中授權(quán)服務(wù)的認證問題，把兩種技術(shù)結(jié)合在一起進行了系統(tǒng)性的研究。我們調(diào)研了Akamai、CloudFlare等世界上主流的20個CDN服務(wù)商，以及一萬多個支持HTTPS的熱門網(wǎng)站(同時也是上述20個CDN廠商的客戶)，揭示出了當前HTTPS在CDN部署中的許多問題。

首先是CDN節(jié)點和后臺源服務(wù)器之間的通信很容易受到中間人攻擊(圖2)：我們測試了5個CDN廠商的后臺通信，發(fā)現(xiàn)盡管瀏覽器到CDN節(jié)點的通信使用HTTPS加密，有的廠商使用明文的HTTP與后臺服務(wù)器進行通信(CDN77、CDN.NET);有的廠商雖然使用了HTTPS，卻不驗證證書的有效性(即可以使用自簽名的證書偽造任何網(wǎng)站，存在問題的廠商包括CloudFlare和InCapsula);有的廠商(如Amazon公司的CloudFront)雖然要求合法證書，但是卻不驗證證書的Common Name。

圖2.有些CDN的后端通信使用不加密的HTTP進行傳輸

其次是瀏覽器和CDN節(jié)點之間的授權(quán)認證問題。我們發(fā)現(xiàn)很多CDN廠商要求源網(wǎng)站提交自己的公鑰證書和私鑰，這嚴重破壞了PKI安全信任的基本原則，即私鑰必須是嚴格保密、不能與第三方共享的。盡管也有替代的方案不要求用戶共享私鑰，比如使用客戶證書(Custom Certificate)或者共享證書(Shared Certificate)方案，但是秘鑰管理復雜，客戶網(wǎng)站無法自主的撤銷自己對CDN廠商的授權(quán)，作為可信第三方的CA也沒有撤銷體現(xiàn)授權(quán)關(guān)系的共享證書。

具體細節(jié)可以參考我們的論文原文和Oakland會上所作報告的Slides[2]。

2. 實際攻擊的案例

在現(xiàn)實互聯(lián)網(wǎng)中，中國教育和科研網(wǎng)應(yīng)急響應(yīng)組CCERT在2014年初曾經(jīng)收到過類似的攻擊報告，蘋果公司(Apple)使用的CDN廠商Akamai的某些節(jié)點已經(jīng)受到了類似的攻擊，導致蘋果公司源網(wǎng)站上的JavaScript頁面被替換成了翻墻軟件自由門的使用手冊。我們與Akamai的技術(shù)人員確認過，的確是他們的CDN節(jié)點和后臺的服務(wù)器之間使用HTTP協(xié)議傳輸，導致通信被劫持，某些CDN節(jié)點的緩存數(shù)據(jù)被污染了。

本文一開始的問題，也是由于HTTPS在CDN實現(xiàn)中的問題所致。根據(jù)斯諾登泄露出來的PPT(圖1)，我們知道美國國家安全局(NSA)和英國的情報機構(gòu)GCHQ在他們聯(lián)合計劃MUSCULAR中，他們也使用了類似的技術(shù)監(jiān)聽Yahoo和Google的通信：由于類似CDN的GFE(Google Front Engine)與提供內(nèi)容的后臺服務(wù)器使用了不加密或安全性較弱的通信協(xié)議，NSA和GCHQ可以繞過瀏覽器端和CDN之間的TLS，在后臺直接監(jiān)聽明文的通信。正如圖靈獎得主、著名密碼專家A. Shamir所言：“Cryptography is typically bypassed, not penetrated.”

3.解決方案

在論文的撰寫過程中，我們向涉及到的CDN廠商都通報了這一問題，并和CloudFlare、Akamai等公司的技術(shù)人員有過多次交流，我們所報告的問題得到了所有聯(lián)系到的產(chǎn)商的認可。其中，CloudFlare 公司在得到我們論文后，很快推出了更加安全的服務(wù) Strict SSL[4]，并宣稱這一服務(wù)可以挫敗NSA對后臺通信的監(jiān)聽。

然而瀏覽器和CDN前端的授權(quán)問題卻不只是實現(xiàn)上的問題。為解決這一HTTPS在CDN服務(wù)中的授權(quán)問題，我們在論文中提出并實現(xiàn)了一個基于DANE[3]的輕量級的解決方案，DANE(DNS-based Authentication of Named Entities)是IETF 制定的標準以完善Web 網(wǎng)站的PKI信任模型。我們的實現(xiàn)表明，在CDN環(huán)境下實現(xiàn)安全、高效的HTTPS通信是可行的，但是由于DNSSec和DANE的部署并不普及，這一方案離工業(yè)界的普遍部署還有一定的距離。我們希望推進CDN和安全領(lǐng)域中進一步的研究，希望有更加有效的解決方案。

本文的第一作者梁錦津博士還參與了CloudFlare公司后來的一種解決方案——Keyless SSL[5]的開發(fā)和測試工作。這一方案不要求客戶網(wǎng)站與CDN共享私鑰，而是在CDN在與前端瀏覽器進行TLS的認證和秘鑰協(xié)商過程中，通過安全的信道把協(xié)商過程中的信息轉(zhuǎn)發(fā)給源網(wǎng)站，由源網(wǎng)站提取會話秘鑰或完成簽名以后再提交給CDN節(jié)點。由于TLS的通信過程中只有握手過程中才用到Private Key，以后的通信過程與源網(wǎng)站無關(guān)。清華大學計算機系張道維的本科畢業(yè)設(shè)計完成了Keyless SSL的的部分實現(xiàn)，實現(xiàn)中修改了OpenSSL和Ngnix的部分源代碼，比較復雜，還有很大改進的空間。

受本論文的影響，互聯(lián)網(wǎng)標準組織IETF的CDN互聯(lián)工作組(CDNI)開始討論CDN及CDNI互聯(lián)的網(wǎng)絡(luò)環(huán)境中加密流量的授權(quán)問題[6]，還沒有形成最終的解決方案。因為最初的互聯(lián)網(wǎng)設(shè)計原則之一是端到端，而今天許多中間盒子(Middle Box)使得互聯(lián)網(wǎng)到處都是中間人，類似HTTPS在CDN中的問題將普遍存在，許多問題值得我們進一步研究，也歡迎有興趣的研究者、CDN廠商的技術(shù)人員和我們合作研究。

作者簡介

段海新，清華大學網(wǎng)絡(luò)科學與網(wǎng)絡(luò)空間研究院研究員，網(wǎng)絡(luò)與信息安全實驗室(NISL)主任，CCERT應(yīng)急響應(yīng)組負責人，加州大學Berkeley訪問學者，藍蓮花戰(zhàn)隊(Blue-Lotus)聯(lián)合創(chuàng)始人。長期從事網(wǎng)絡(luò)安全相關(guān)的教學和研究，重點關(guān)注DNS、CDN、PKI、Web、TLS等基礎(chǔ)設(shè)施和基礎(chǔ)協(xié)議的安全，研究成果發(fā)表在Oakland、USENIX Security、NDSS、SIGCOMM的學術(shù)會議，在工業(yè)界引起廣泛關(guān)注。段海新主頁：http://netsec.ccert.edu.cn/duanhx, 新浪微博：http://weibo.com/duanhx

本文首發(fā)于“網(wǎng)絡(luò)安全研究國際學術(shù)論壇(InForSec)” ，歡迎轉(zhuǎn)發(fā)，但請注明出處：http://inforsec.org

參考文獻：

[1] NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say. https://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html

[2] Jinjin Liang, Jian Jiang, Haixin Duan, Kang Li, Tao Wan, and Jianping Wu. “When HTTPS Meets CDN: A Case of Authentication in Delegated Service”, in 2014 IEEE Symposium on Security and Privacy (SP), 2014, pp. 67-82, PDF and PPT Download: http://netsec.ccert.edu.cn/duanhx/archives/1803

[3]P. Hoffman and J. Schlyter. The DNS-Based Authentication of Named Entities (DANE),Transport Layer Security (TLS) Protocol: TLSA, RFC 6698 https://tools.ietf.org/html/rfc6698

[4] Nick Sullivan. Introducing Strict SSL: Protecting Against a Man-in-the-Middle Attack on Origin Traffic, https://blog.cloudflare.com/introducing-strict-ssl-protecting-against-a-man-in-the-middle-attack-on-origin-traffic/

[5]Keyless SSL, https://www.cloudflare.com/keyless-ssl/

[6]S. Slovetskiy ,Approaches to HTTPS-based Request Routing and Delegation, https://datatracker.ietf.org/doc/draft-slovetskiy-cdni-https-delegation-approaches/