2017年8月9日星期三

Google不信任風波擴大


DigiCert收購Symantec證書業務


Symantec宣佈,出售電子證書業務,即其CA(Certificate Authority)Root CA業務予
DigiCert,代價為以九億五千萬美元現金,另加後者三成的股權。Symantec出售證書業務,原
因是Google及Mozilla相繼宣佈, 不再信任Symantec證書,導致要重建簽發證書的所有基建。


於7月28日,Google宣佈,明年起不相信Symantec於2016年6月1日之前發出證書。除了
Symantec,屬下Thawte、GeoTrust 、RapidSSL發出證書,均要被注銷。Google的制裁分三
階段進行。2018年8月,Google將完全不信任所有Symantec發出證書。估計Google的
Chrome瀏覽器,佔去全球六成市場以上。

Symantec是全球最大Root CA,作用就是提供不同功能的電子證書,以加強伺服器和客戶端之
間安全。例如網頁以HTTPS傳送資料,以SSL證書和PKI方式加密,或進行電子簽名,又或證
明網站或用戶真正身份。新版的TSL (Transport Layer Security,傳輸層安全性) 為更新SSL 版
本,但業內一般還是統稱SSL證書。

如果證書受到主要瀏覽器的默認信任,用戶與伺服器就可簡單建立加密和安全的通訊,證明對方真正身份。如果說,CA是網上信任的基礎,可說絕不為過。目前受主要瀏覽器信任Root
CA不少;首五位可推Symantec、Comodo、Godaddy、GlobalSign、Digicert。交易之後
,Digicert將一躍成全球最大CA。

Symantec遭多次警告

今年三月,據Google及Mozilla的調查,發現Symantec錯誤簽發大量SSL證書,最後發現錯誤
簽發證書,多達三萬多張。7月28日,Google宣佈不信任Symantec證書後,考慮Symantec作
為全球最大簽發機構,Google同意延遲至明年4月,Chrome 66版本才開始不信任Symantec的
證書,用戶無法再利用證書,加密資料和證明身份。

2015年,Google亦曾發現Symantec旗下CA,向多個不存在域名,甚至Google的域名發出證
書。Google認為,上述證書可用於破壞、冒充、甚至攔截安全通訊。

不少購物網站,為免受到釣魚網站攻擊,一般會使用伸延驗證(Extended Validation,EV),
以第三方驗證網站身份,獲發EV證書檢驗網站,瀏覽器網址欄顯示綠色,意味網站身份受驗
證,客戶可放心進入,SSL證書亦可加密資料;包括了信用卡資訊、姓名、住址等。

Root CA管理不良,代表整個網上信任受到威脅,黑客可利用誤發證書,冒充真正的網站,破
解已加密通訊,甚至竊取敏感的資料。雖然事後Symantec注銷證書;但已注銷證書,仍有機
會用於攻擊。瀏覽器一旦無法接觸查詢注銷的服務器,就無法知悉證書被注銷,結果顯示已注銷證書為有效。

其後,保安專家Hanno Böck又發現,Symantec注銷程序亦告出錯,可利用假私人金鑰,竟然
可以注銷合法網站證書。結果Symantec技術總監Rick Andrews承諾,修正有問題的注銷程序


多家CA曾經出事


以往,曾經有Root CA不當發出證書,而被Google不相信事例;最近例子是中國沃通
(WoSign)收購以色列StartCom後,亦因發出有問題的證書,去年Google已宣佈不再信任沃通
的電子證書。2011年,DigiNotar受到入侵,發出多張假證書,結果多個政府和著名機構名稱
遭冒用,黑客設立釣魚網站,甚至以假證書發行「中間人」(man-in- the-middle, MITM)攻擊,
盗取Google及用戶以SSL加密的通信,Google及Mozilla不信任證書後,DigiNotar同年宣佈破
產。


公營機構可信性高

以往,一般Root CA發出證書的機構嚴謹,以確保擁有證書機構,必須符合多項審查,包括商
業登記和身份證明,擁有網站證明等,甚至致電確定身份。但不少Root CA為削減成本,大幅
簡化認證工序,甚至為了多做生意,不惜犧牲了檢查程序,黑客可以利用假證書作攻擊
。Symantec的證書業務佔市場最大份額,收購後,客戶會過渡到DigiCert,預計影響不大。
香港政府的郵政局亦為可發出電子證書的Root CA,本港公營機構,甚至醫管局均使用香港郵
政局的電子證書。

中信國際電訊CPC的信息科技及安全服務部高級副總裁鄺偉基說,中信國際電訊CPC亦使用
DigiCert證書服務,一向審查嚴謹,他對今次收購表示歡迎。

鄺偉基說,以往多次SSL證書服務出現濫發問題,反映私人經營的業務,受成本和業績壓力,
可能會降低查證的嚴謹性,影響網上對保安信心。雖然,香港郵政局證書服務不錯,審查嚴謹,但礙於價格和推廣,不少人還是用了其他的證書服務。網上安全影響到市民對網上交易的信心,他認為郵政局可擔任更積極角色,甚至與私人機構合作,加強本港網上交易和資料的信任。

1 則留言:

  1. BlueHost is ultimately the best web-hosting provider for any hosting services you might need.

    回覆刪除