-
-
Google启用新网络日志对抗非信任证书机构
-
发表于:
2016-3-31 16:21
2744
-
新闻链接:http://www.seehand.com/community/1457.html
新闻时间:2016年3月28日
新闻正文:
Google Submariner(潜航者)将列出网络浏览器不再信任或尚未被信任的根证书。
数字证书是现代因特网安全的重要组件。浏览器用它们来认证网站,为高价值的东西(从银行交易到邮件)对客户端设备和网络服务器间的通讯进行加密。
这些证书原本用于向用户确保,网站是诚信并可安全访问的,而不是向粗心的用户分发恶意软件的恶意网站。
然而,网络犯罪分子或可利用被攻击的证书或者误用的证书伪装成合法的网站,这使得他们有能力劫持流量或执行其他破坏性的网络攻击。
这就是为什么Google会成为行业中众多发声的支持者之一,呼吁对数字证书的发放、撤销和在其整个生命周期中的管理赋予更严格的标准和控制。
该公司的Certificate Transparency(证书透明度)项目意在解决证书相关的安全威胁问题,使得网络域名所有人、域名用户和证书机构能够对审查证书的发放和维护过程进行更仔细的审查。
该公司上周为证书安全的改进采取了另一项举措,为某类的根证书提供新的Certificate Transparency日志。
该日志被称为Submariner,意在成为对某类证书的公开记录,如果这类证书由根程序曾信任但目前已撤回信任的证书机构(CA)签发。它还包括浏览器尚未信任的CA签发的根证书,Certificate Transparency的软件工程师Martin Smith在上周的一篇博客中写道。
CA是一种受信任的实体,它们签发用于因特网验证或认证身份的数字证书。
Google最初的Certificate Transparency日志包含所有受浏览器信任的证书机构的列表。但它原本不包含因证书撤销过程前后矛盾,存在证书安全漏洞历史和其他问题而不再被信任的根证书签发机构的列表。
Google公司上周发布的新日志意在解决上述的不足。
“这些CA活动的可视性仍然是有帮助的,因此我们为这些证书创建了新的CT日志,”Smith说道,“该日志将不再被Chrome证书信任,而且它也会提供Google运营的日志不再信任的证书的公开记录。”
首先,Submariner将包括一组Symantec最近不再继续信任的根证书。它还将包括目前等待进入Mozilla受信任CA列表的证书集合。此外,Google也在邀请其他第三方为进入Submariner日志的证书提供建议。
Venafi公司的安全策略和威胁情报部门的副总裁Kevin Bocek称,该举措是Google公司意义深远的一步。
“加密密钥和数据证书很强大,奠定网络信任和网络安全的基石,”他在一项声明中说道。通过设计,网络服务器和应用在认证目的下信任这些证书。如果这些证书未被合理的管理,它们则可能被网络犯罪分子滥用,伪装成他们的目标并实施攻击。
“由于我们正在进入互联性不断增强的IoT世界……证书的数量正在爆炸性增长,”Bocek说道。该趋势使得确定哪些证书值得信任变得越来越困难,他说道。“黑客正期待着从混乱中赚钱。”Bocek说道。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!