俄罗斯创立TLS证书颁发机构,欲绕过制裁
编译:代码卫士
俄罗斯创立了自己的受信任TLS证书颁发机构 (CA),解决因制裁不允许证书更新而累积的网站访问问题。
西方企业和政府的制裁阻止俄罗斯网站更新现有TLS证书,导致浏览器拦截证书过期的站点访问。TLS证书帮助web浏览器确认域名属于已验证实体以及证明用户和服务器之间的信息交流是加密的。
位于已对俄罗斯进行制裁的国家的签名机构不再接受服务支付,导致很多站点无法更新过期证书。证书过期后,web 浏览器如谷歌 Chrome、Safari、微软 Edge 和 Mozilla Firefox 将展示关于页面不安全的全页面提醒,从而导致很多用户离开站点。
俄罗斯表示已经在一家国内证书颁发机构找到解决方案,可独立发布并更新TLS 证书。
俄罗斯公共服务网站门户 Gosuslugi 解释称,“如果国外安全证书吊销或过期,它将取而代之。数字化发展部将提供免费的国内解决方案,并提供给合法实体,站长申请后将在5个工作日内通过。”
不过,新的证书颁发机构要想获得web 浏览器的信任,首先需要经过多家公司的审计,这可能需要较长时间。目前,认可俄罗斯新证书颁发机构的唯一 web 浏览器是基于俄罗斯的Yandex 浏览器和 Atom 产品,因此用户被告知使用这些产品,取代Chrome、Firefox、Edge 等。已接收且目前正在使用俄罗斯提供证书的网站包括 Sberbank、VTB和俄罗斯央行。
俄罗斯媒体还流传一份含有198个域名的清单,据称这些域名都收到使用国内TLS 证书的通知,但目前为止使用国内TLS证书尚未成为强制性要求。
其它浏览器如 Chrome 或 Firefox 的用户可手动将俄罗斯新root证书继续使用带有国家证书的俄罗斯站点。然而,这就导致俄罗斯可能滥用CA 根证书执行HTTPS 流量拦截和中间人攻击。这种滥用将导致新的 root 证书被添加至证书吊销清单中。这就导致这些国内证书可能是无效的,而Chrome、Edge 和 Firefox 将拦截访问任何使用这些证书的网站。
证书颁发机构应该是全球信任的。然而,鉴于目前俄罗斯未受到任何信任,因此主流浏览器厂商可能不会将其添加到 root 证书商店中。
俄罗斯已采取一些紧急措施降低西方制裁对经济的影响。很多人猜测俄罗斯将切断全球互联网并使其网民使用 “Runet”。俄罗斯数字化技术部在和当地新闻媒体共享的声明中否认了这些传闻并指出没有从全球互联网切断的计划。
代码卫士试用地址:https://codesafe.qianxin.com/#/home
开源卫士试用地址:https://oss.qianxin.com
CISA:警惕俄罗斯 “Sandworm” 黑客组织使用的新型恶意软件框架
https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-bypass-sanctions/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。