CA还必须具有针对知名域名的自动阻止功能
在网络攻击者吹嘘说破坏了荷兰证书颁发机构DigiNotar和其他几个证书之后,Mozilla要求公司对系统进行审核,以确保未遭到破坏。Mozilla证书颁发机构证书模块所有者Kathleen Wilson在9月8日的电子邮件中表示,Mozilla希望其软件中认可的证书颁发机构(包括Symantec,Verizon和Go Daddy等)对其系统进行审核,以确保它们不会受到威胁。
电子邮件需要确认,审计需要确认没有两要素身份验证的人无法为站点颁发数字证书,并且任何可以使用CA根密钥颁发证书的经销商或其他合作伙伴都已经实施了安全流程。发布在Mozilla安全性讨论论坛上。
威尔逊写道,CA还必须具有“针对知名域名的自动阻止功能”。进行手动验证将使攻击者更难为流行和高流量站点(例如Microsoft,Google和Yahoo)颁发欺诈性的安全套接字层(SSL)证书,到目前为止,这些站点均已成为Comodo和DigiNotar攻击的目标年。作为中间人攻击的一部分,过去一个月中,来自DigiNotar的Google和Facebook虚假证书可能已经影响了300,000用户。
威尔逊写道:“如果被阻止,请进一步确认您手动验证此类请求的过程。”
“ Comodohacker”在9月5日发布在文本共享网站Pastebin上的声明中最令人担忧的部分是,攻击者仍然可以访问受感染的系统,并且仍然可以颁发证书。“ Comodohacker”声称在今年早些时候和6月份的DigiNotar上对多家Comodo经销商的违规行为负有责任。Comodohacker声称损害了DigiNotar和包括GlobalSign在内的其他四个证书颁发机构(CA)。
该帖子说:“我可以访问他们的整个服务器...但是您必须听到的更多!如此之多!至少还有3个,至少!等等。”
虽然所有Comodo签名的证书在颁发后几乎都被吊销了,但DigiNotar发行的许多假证书尚未被吊销。该公司最初声称是“数十”个证书是欺诈性颁发的。经过数字取证公司Fox-IT的审核后,该数字已激增至500多个。
该帖子出现后,GlobalSign暂停了发布数字证书的工作,并聘请Fox-IT进行安全审核。这家比利时公司在其Twitter feed上表示,计划于9月12日恢复签发证书。