批評(píng)人士最近呼吁各大 IT 企業(yè)撤銷(xiāo)對(duì)美國(guó)證書(shū)授權(quán)機(jī)構(gòu) （CA） 和安全公司 Trustwave 簽發(fā)的 SSL 證書(shū)的信任 - 該公司剛剛承認(rèn)了自己在完全肯定證書(shū)會(huì)被客戶(hù)用于假冒不屬于該客戶(hù)的網(wǎng)站并實(shí)施中間人攻擊的情況下，仍然為客戶(hù)簽發(fā)了證書(shū)。

        Trustwave 為該客戶(hù) （具體買(mǎi)主并未公開(kāi)） 提供的是所謂的 “中間級(jí)證書(shū)”: 這一證書(shū)允許客戶(hù)為互聯(lián)網(wǎng)上的任何服務(wù)器簽發(fā)被各種主流瀏覽器視為有效的 SSL 證書(shū)。而這買(mǎi)主則將該證書(shū)用于對(duì)其內(nèi)部網(wǎng)絡(luò)用戶(hù)使用 SSL 加密的網(wǎng)站和服務(wù)時(shí)的行為進(jìn)行監(jiān)控 - 利用受信任的假證書(shū)竊聽(tīng)用戶(hù)與服務(wù)器間的通信， 這里的 “監(jiān)控” 事實(shí)上已經(jīng)屬于中間人攻擊。另外，為了避免該證書(shū)私鑰被黑客竊走并用于非法用途， 該證書(shū)附有一個(gè)硬件反泄密系統(tǒng)保護(hù)其不被盜用。

        盡管如此， 安全專(zhuān)家仍然認(rèn)為這種情況不可接受，并已經(jīng)向謀智網(wǎng)絡(luò) （Mozilla） 發(fā)出呼吁要求該公司刪除 Trustwave 在 Firefox 瀏覽器和 Thunderbird 郵件軟件中的受信根證書(shū)。他們認(rèn)為，依據(jù)謀智網(wǎng)絡(luò)的根證書(shū)政策和其他軟件公司類(lèi)似的對(duì) CA 證書(shū)的要求，Trustwave 的行為已經(jīng)違反了 “不得故意在證書(shū)涉及的各方不知情的情況下簽發(fā)證書(shū)” （即假冒其他服務(wù)器的證書(shū)） 這一原則。

         安全專(zhuān)家也表示，Trustwave 堅(jiān)持該證書(shū)只在客戶(hù)的內(nèi)部網(wǎng)絡(luò)中使用并且不會(huì)外流這點(diǎn)在此事件中毫無(wú)意義。Christopher Soghoian， 一個(gè)要求謀智撤銷(xiāo)對(duì) Trustwave 信任的討論組的一名成員， 寫(xiě)到： “雖然對(duì) SSL 連接的攔截可能是基于合法理由的， 并且這個(gè)企業(yè)的員工可能完全知情， 但無(wú)論如何以上任何一點(diǎn)都不會(huì)改變一個(gè)事實(shí) - Trustwave 簽發(fā)的證書(shū)已經(jīng)被用于冒充其他網(wǎng)站。 這種行為不僅完全無(wú)法接受， 并且已經(jīng)違反了謀智的相關(guān)政策。”

        這場(chǎng) “證書(shū)門(mén)” 的導(dǎo)火索是 Trustwave 在近來(lái)發(fā)生數(shù)起針對(duì)授權(quán)機(jī)構(gòu)的黑客攻擊的背景下承認(rèn)了該公司簽發(fā)了上文提到的證書(shū)。同時(shí)他們也表示會(huì)很快撤銷(xiāo)該證書(shū)， 并承諾在未來(lái)不再有類(lèi)似的行為。該機(jī)構(gòu)是歷史上首個(gè)承認(rèn)曾頒發(fā)過(guò)這種證書(shū)的授權(quán)機(jī)構(gòu)， 但批評(píng)人士則表示這種行為其實(shí)在 CA 中非常普遍。

        謀智網(wǎng)絡(luò)工程總監(jiān) Johnathan Nightingale 則表示公司的主管目前還在研究決定是否不再信任 Trustwave。他表示： “目前來(lái)說(shuō)， 我們支持 Trustwave 撤銷(xiāo)該證書(shū)的做法，同時(shí)我們鼓勵(lì)其他發(fā)布、類(lèi)似證書(shū)的 CA 立刻同樣的公開(kāi)并且撤銷(xiāo)這些證書(shū)。” 微軟公司的一名發(fā)言人則拒絕對(duì) Trustwave 的行為是否違背了 Windows 根證書(shū)政策發(fā)表評(píng)論。

        Trustwave 周六發(fā)布的博客和本周二謀智開(kāi)發(fā)論壇上相關(guān)討論貼的新回復(fù)中，該公司的代表著重強(qiáng)調(diào)了持有這一證書(shū)的客戶(hù)事實(shí)上受到了使用條款的嚴(yán)格限制， 而且公司嚴(yán)格執(zhí)行了條款內(nèi)容。提到的條款要求這一客戶(hù)向其所有雇員公開(kāi)公司內(nèi)部網(wǎng)絡(luò)的監(jiān)控，并且不允許網(wǎng)絡(luò)上的任何用戶(hù)或管理員接觸證書(shū)私鑰。同時(shí) Trustwave 表示該公司只簽發(fā)過(guò)一份這種證書(shū)。

         這一事件的重要性在于，這份證書(shū)是在荷蘭 CA DigiNotar 的根證書(shū)失竊并被黑客用于對(duì) Gmail，謀智的 Firefox 插件服務(wù)以及其他敏感網(wǎng)站發(fā)動(dòng)攻擊一事曝光之后六個(gè)月簽發(fā)的。與此同時(shí)去年 StartSSL 和 GlobalSign 兩個(gè) CA 也表示自己遭到了黑客攻擊，不過(guò)在黑客能夠簽署假證書(shū)前安全人員就已經(jīng)成功阻斷了攻擊，而EFF在一次最近的調(diào)查中稱(chēng) “至少還有兩個(gè) CA 也遭到了黑客襲擊”。

         在這樣的背景下，Trustwave 的行為曝光無(wú)疑加重了 IT 專(zhuān)家對(duì)現(xiàn)有 SSL 體系的憂(yōu)慮 - 超過(guò) 600 個(gè)機(jī)構(gòu)目前被主流瀏覽器廠(chǎng)商信任為合法的證書(shū)頒發(fā)者。而這 600 多個(gè)點(diǎn)中任意一個(gè)被攻破，黑客即可在安全機(jī)構(gòu)做出反應(yīng)前隨心所欲的攔截被視為安全的加密連接。（作者：Ars Technica 來(lái)源：cnbeta）