大多數 SSL 證書簽發錯誤的主要原因是軟件錯誤
最近的一項學術研究發現,軟件錯誤和對行業標準的誤解是大多數錯誤簽發 SSL 證書的最主要原因,其所占比例高達所有錯誤事件的 42%。 這項研究是由印第安納大學布盧明頓分校信息與計算學院的一個團隊撰寫的,他們研究了 379 起 SSL 證書簽發錯誤的實例,并總共發現了 1300 多個事件。 研究人員從公共資源收集了事件數據,例如 Mozilla 的 Bugzilla 跟蹤器與 Firefox 和 Chrome 瀏覽器安全團隊的網上論壇討論區。該研究的目的是研究證書頒發機構(CA)如何遵守行業標準,以及 SSL 證書簽發錯誤背后的最常見原因。 研究小組得出了一個結論,即“大多數錯誤簽發 SSL 證書的事件都是由軟件錯誤引起的”。 在他們分析的 379 個案例中,有 91 個(占 24%)是由 CA 的一個軟件平臺中的軟件錯誤引起的,導致客戶收到不兼容的 SSL 證書。 第二個最常見的原因是 CA 誤解了 CA/B 論壇規則,或者 CA 不知道規則已更改,有 69 起案件是這種情況,占所有 SSL 證書簽發錯誤事件的 18%。 而惡意根 CA 導致的問題數據占比排在第三位,有 52 個 SSL 證書簽發錯誤案例(占所有分析事件的 14%)是 CA 故意作惡,為了利潤而破壞了行業規則,比如他們會給中間人攻擊者出售證書。 第四大最常見的原因是人為錯誤,有 37 例(占總數的 10%)。 第五位是操作錯誤,其中錯誤是由于 CA 的內部程序錯誤,而不是軟件或人為錯誤,這占了 29 例,占所有案例的 8%。 第六個根本原因是“非最佳請求檢查(non-optimum request check)”,該術語描述了檢查客戶身份時所犯的錯誤,通常允許流氓客戶假冒另一個實體,例如,惡意軟件作者獲得了 SSL 證書合法的公司。研究人員發現了 24 個此類事件,占所有 SSL 簽發錯誤事件的 6%。 SSL 證書簽發錯誤的第七個最常見的根本原因是“不正確的安全控制”,這是一個通用類別,其中包括所有 CA 被黑或失去對其基礎結構的控制以允許第三方獲得 SSL 證書的情況。
