批評(píng)人士最近呼吁各大 IT 企業(yè)撤銷對(duì)美國證書授權(quán)機(jī)構(gòu) （CA） 和安全公司 Trustwave 簽發(fā)的 SSL 證書的信任 - 該公司剛剛承認(rèn)了自己在完全肯定證書會(huì)被客戶用于假冒不屬于該客戶的網(wǎng)站并實(shí)施中間人攻擊的情況下，仍然為客戶簽發(fā)了證書。

        Trustwave 為該客戶 （具體買主并未公開） 提供的是所謂的 “中間級(jí)證書”: 這一證書允許客戶為互聯(lián)網(wǎng)上的任何服務(wù)器簽發(fā)被各種主流瀏覽器視為有效的 SSL 證書。而這買主則將該證書用于對(duì)其內(nèi)部網(wǎng)絡(luò)用戶使用 SSL 加密的網(wǎng)站和服務(wù)時(shí)的行為進(jìn)行監(jiān)控 - 利用受信任的假證書竊聽用戶與服務(wù)器間的通信， 這里的 “監(jiān)控” 事實(shí)上已經(jīng)屬于中間人攻擊。另外，為了避免該證書私鑰被黑客竊走并用于非法用途， 該證書附有一個(gè)硬件反泄密系統(tǒng)保護(hù)其不被盜用。

        盡管如此， 安全專家仍然認(rèn)為這種情況不可接受，并已經(jīng)向謀智網(wǎng)絡(luò) （Mozilla） 發(fā)出呼吁要求該公司刪除 Trustwave 在 Firefox 瀏覽器和 Thunderbird 郵件軟件中的受信根證書。他們認(rèn)為，依據(jù)謀智網(wǎng)絡(luò)的根證書政策和其他軟件公司類似的對(duì) CA 證書的要求，Trustwave 的行為已經(jīng)違反了 “不得故意在證書涉及的各方不知情的情況下簽發(fā)證書” （即假冒其他服務(wù)器的證書） 這一原則。

         安全專家也表示，Trustwave 堅(jiān)持該證書只在客戶的內(nèi)部網(wǎng)絡(luò)中使用并且不會(huì)外流這點(diǎn)在此事件中毫無意義。Christopher Soghoian， 一個(gè)要求謀智撤銷對(duì) Trustwave 信任的討論組的一名成員， 寫到： “雖然對(duì) SSL 連接的攔截可能是基于合法理由的， 并且這個(gè)企業(yè)的員工可能完全知情， 但無論如何以上任何一點(diǎn)都不會(huì)改變一個(gè)事實(shí) - Trustwave 簽發(fā)的證書已經(jīng)被用于冒充其他網(wǎng)站。 這種行為不僅完全無法接受， 并且已經(jīng)違反了謀智的相關(guān)政策。”

        這場(chǎng) “證書門” 的導(dǎo)火索是 Trustwave 在近來發(fā)生數(shù)起針對(duì)授權(quán)機(jī)構(gòu)的黑客攻擊的背景下承認(rèn)了該公司簽發(fā)了上文提到的證書。同時(shí)他們也表示會(huì)很快撤銷該證書， 并承諾在未來不再有類似的行為。該機(jī)構(gòu)是歷史上首個(gè)承認(rèn)曾頒發(fā)過這種證書的授權(quán)機(jī)構(gòu)， 但批評(píng)人士則表示這種行為其實(shí)在 CA 中非常普遍。

        謀智網(wǎng)絡(luò)工程總監(jiān) Johnathan Nightingale 則表示公司的主管目前還在研究決定是否不再信任 Trustwave。他表示： “目前來說， 我們支持 Trustwave 撤銷該證書的做法，同時(shí)我們鼓勵(lì)其他發(fā)布、類似證書的 CA 立刻同樣的公開并且撤銷這些證書。” 微軟公司的一名發(fā)言人則拒絕對(duì) Trustwave 的行為是否違背了 Windows 根證書政策發(fā)表評(píng)論。

        Trustwave 周六發(fā)布的博客和本周二謀智開發(fā)論壇上相關(guān)討論貼的新回復(fù)中，該公司的代表著重強(qiáng)調(diào)了持有這一證書的客戶事實(shí)上受到了使用條款的嚴(yán)格限制， 而且公司嚴(yán)格執(zhí)行了條款內(nèi)容。提到的條款要求這一客戶向其所有雇員公開公司內(nèi)部網(wǎng)絡(luò)的監(jiān)控，并且不允許網(wǎng)絡(luò)上的任何用戶或管理員接觸證書私鑰。同時(shí) Trustwave 表示該公司只簽發(fā)過一份這種證書。

         這一事件的重要性在于，這份證書是在荷蘭 CA DigiNotar 的根證書失竊并被黑客用于對(duì) Gmail，謀智的 Firefox 插件服務(wù)以及其他敏感網(wǎng)站發(fā)動(dòng)攻擊一事曝光之后六個(gè)月簽發(fā)的。與此同時(shí)去年 StartSSL 和 GlobalSign 兩個(gè) CA 也表示自己遭到了黑客攻擊，不過在黑客能夠簽署假證書前安全人員就已經(jīng)成功阻斷了攻擊，而EFF在一次最近的調(diào)查中稱 “至少還有兩個(gè) CA 也遭到了黑客襲擊”。

         在這樣的背景下，Trustwave 的行為曝光無疑加重了 IT 專家對(duì)現(xiàn)有 SSL 體系的憂慮 - 超過 600 個(gè)機(jī)構(gòu)目前被主流瀏覽器廠商信任為合法的證書頒發(fā)者。而這 600 多個(gè)點(diǎn)中任意一個(gè)被攻破，黑客即可在安全機(jī)構(gòu)做出反應(yīng)前隨心所欲的攔截被視為安全的加密連接。（作者：Ars Technica 來源：cnbeta）