凭证颁发机构浏览器论坛Certification Authority Browser Forum(CA/Browser Forum)近日通过了HTTPS凭证两项新的安全要求,包括多方发行验证(Multi-Perspective Issuance Corroboration,MPIC),以及凭证检查(Linting),并已于今年3月15日正式实施,而这两项要求都是由Google内部的浏览器凭证管理专案Chrome Root Program所提出。
CA/Browser Forum是由凭证颁发机构(CA)、作业系统业者、浏览器开发商、安全电子邮件软体供应商,以及其它支援PKI之应用程式供应商所组成的联盟,设有伺服器凭证工作小组、程式码签章工作小组及S/MIME凭证工作小组,负责替相关业者制定网路安全标准。而HTTPS指的则是利用TLS或SSL技术来加密传输封包的安全协定,在建立HTTPS连结之前,浏览器必须借由CA所颁发的凭证来验证所连结的伺服器身分,确保网站身分的可信度。
由Google所开发的Chrome是目前全球最受欢迎的浏览器,市占率高达67%,根据该公司的统计,综合在Android、Chrome OS、macOS及Windows上的Chrome流量,有超过92%都是透过HTTPS传输的。
Google说明,在CA颁发凭证之前,必须先验证申请者是否合法控制凭证中将显示的网页域名称,此一程序称为「网域控制验证」,并已有几种明确定义的方法可供使用,例如由CA指定一个随机值置放于所申请的网站上,然后进行检查以验证申请者能否真能发布该值;但曾有骇客先透过BGP劫持以窃取特定网站的流量,使CA误以为骇客控制该站的网域名称,进而成功申请合法凭证,骇客以所获得的凭证建立了恶意网站,并取信于使用者,成功窃取了价值200万美元的加密货币。
因此,Google提出了MPIC,它不是仅从单一地理或路由有利位置来执行网域控制的验证,而是借由多个不同的地理位置或多个网路服务供应商来执行同样的验证,降低因路由攻击而错误颁发凭证的可能性,有效防御BGP劫持。
至于Linting则是一种自动化流程,用于分析凭证以侦测及防止错误、不一致或不合标准的情况,确保凭证的格式正确,并包含其预期用途所需的必要资料,例如网站验证。然而,过去CA并未被强制要求执行Linting,而只是选择性的使用它,自今年3月15日开始,所有的CA在颁发凭证的过程中都必须执行Linting,降低误发凭证的风险。
除了上述两项已经施行的凭证颁布安全机制外,Google也已提议淘汰某些基于WHOIS的弱验证。WHOIS为一公共资料库,可用来查询网域名称的注册资讯,也被CA用于网域控制验证,然而,随著隐私保护措施的强化,许多网域名称的注册者已选择隐藏其个人资料,此外,WHOIS曾因忘了续约一个.mobi的网站,被一个安全研究团队以20美元买下,该团队发现,仍有包括CA在内的数十万个系统向该网站发送查询,并利用此一漏洞展开模拟攻击,成功展示了如何欺骗CA以错误颁发凭证,曝露WHOIS系统的潜在风险。
于是Google提议淘汰基于WHOIS的电子邮件、电话,以及传真与实体邮件等验证方法,以推动更安全的网域控制验证机制,该禁令预计于今年的7月15日生效。