大多數SSL 證書籤發錯誤的主要原因是軟件錯誤
最近的一項學術研究發現,軟件錯誤和對行業標準的誤解是大多數錯誤簽發SSL證書的最主要原因,其所佔比例高達所有錯誤事件的42%。這項研究是由印第安納大學布盧明頓分校信息與計算學院的一個團隊撰寫的,他們研究了379起SSL證書籤發錯誤的實例,並總共發現了1300多個事件。
研究人員從公共資源收集了事件數據,例如Mozilla 的Bugzilla 跟踪器與Firefox 和Chrome 瀏覽器安全團隊的網上論壇討論區。該研究的目的是研究證書頒發機構(CA)如何遵守行業標準,以及SSL 證書籤發錯誤背後的最常見原因。
研究小組得出了一個結論,即“大多數錯誤簽發SSL 證書的事件都是由軟件錯誤引起的”。
在他們分析的379 個案例中,有91 個(佔24%)是由CA 的一個軟件平台中的軟件錯誤引起的,導致客戶收到不兼容的SSL 證書。
第二個最常見的原因是CA 誤解了CA/B 論壇規則,或者CA 不知道規則已更改,有69 起案件是這種情況,佔所有SSL 證書籤發錯誤事件的18%。
而惡意根CA 導致的問題數據佔比排在第三位,有52 個SSL 證書籤發錯誤案例(佔所有分析事件的14%)是CA 故意作惡,為了利潤而破壞了行業規則,比如他們會給中間人攻擊者出售證書。
第四大最常見的原因是人為錯誤,有37 例(佔總數的10%)。
第五位是操作錯誤,其中錯誤是由於CA 的內部程序錯誤,而不是軟件或人為錯誤,這佔了 29 例,佔所有案例的8%。
第六個根本原因是“非最佳請求檢查(non-optimum request check)”,該術語描述了檢查客戶身份時所犯的錯誤,通常允許流氓客戶假冒另一個實體,例如,惡意軟件作者獲得了SSL 證書合法的公司。研究人員發現了24 個此類事件,佔所有SSL 簽發錯誤事件的6%。
SSL 證書籤發錯誤的第七個最常見的根本原因是“不正確的安全控制”,這是一個通用類別,其中包括所有CA 被黑或失去對其基礎結構的控制以允許第三方獲得SSL 證書的情況。
詳情可以查看該研究報告: