SSL证书为何会被错误签发?

Original E安全 E安全 2022-05-13

更多全球网络安全资讯尽在E安全官网 www.easyaq.com

据外媒报道，近日美国印第安纳大学发布了一份研究报告，探讨了SSL证书会被错误签发的原因。据了解，SSL证书可用于加密客户端和服务器之间的通信，由证书颁发机构（Certificate Authority，简称CA）予以签发。

在某些情况下，CA颁发的SSL证书会被不法分子用于恶意目的，如发起执行中间人（man-in-the-middle）攻击、拦截HTTPS通信等。为对此展开研究，技术人员从公共渠道收集了379起SSL证书发行错误实例，并总结了六种SSL证书被不法分子利用的原因。

结果显示，CA的软件平台错误是错误签发事件的最大诱因，共造成了24%的此类事件。第二常见的原因是CA在无意间违反了CA/ B论坛（管理证件颁发活动的组织）的规定，占所有案例的18%。排名第三的原因则是CA于利益考虑而故意违规，占比14%。

而其他三个原因则是CA内部程序错误（8％）、用户身份检查不到位（6％）、CA被入侵或失去对系统的控制（6％）。此外，行业规定的更改、硬件问题，以及行规与法律的冲突，都可能导致SSL证书被错误签发。

报告还指出，最容易出错的CA包括StartCom、WoSign、DigiCert、PROCERT、Comodo（Sectigo）、QuoVadis、VISA、GoDaddy、Certum、Camerfirma和SwissSign。

注：本文由E安全编译报道，转载请注原文地址
https://www.easyaq.com