证书颁发机构们搞了个伦敦协议试图改进OV和EV证书,但浏览器厂商会支持吗?
伦敦协议是SSL行业如此独特的一个很好的例子。 很少有行业中的五家顶级公司聚集在一起,试图解决他们销售的产品的问题。但在近日,Comodo,Entrust,GlobalSign,GoDaddy和Trustwave通过CA安全委员会联合起来支持伦敦协议 - 一项改进身份证书(OV和EV SSL)的正式计划。(是的,就是之前DigiCert因为不支持而干脆退出CA论坛的计划)。在7月初的证书颁发机构/浏览器论坛(CAB论坛)的伦敦面对面会议上,该倡议被正式提出并得名:伦敦协议。
作为Entrust的战略副总裁,Chris Bailey写道:
我们行动的起源源于HashedOut的一份报告,指出“2016年1月1日至2017年3月6日期间,Let's Encrypt证书颁发机构共发布了包含”PayPal“字样的15,270个SSL证书。”这些Let的加密证书是发布给在其域名中使用“PayPal”名称欺骗在线用户发送其个人数据的坏人,换句话说,就是犯下身份盗用罪。 Let's Encrypt颁发的证书仅为域验证证书,这意味着它们可以发布到匿名网站,因为发布是100%自动化的。
------伦敦协议因何而生?------
山寨PayPal带着安全标记横行网络的事件仅是冰山一角,更多的钓鱼网站披着羊皮玩得风生水起。如今,不断存在的扩展验证SSL证书受到了威胁。部分原因是由于在过去一年间发生的一系列事件,安全研究人员成功创建空壳公司、引导混乱并建了个和另一公司冲突的EV名。
在一个例子中,Ian Carroll在肯塔基州创建了一家名为Stripe的公司,然后收到了一份与Stripe支付公司无法区分的扩展验证证书。 在另一个例子中,James Burton创建了一家名为“Identity Verified”的公司,并获得了可能误导用户的EV证书。 两种证书都没有造成实际损害,如果两个例子都显示了网络钓鱼者获得EV证书所需的长度,基于平均每个网络钓鱼站点被搁置大约15个小时。
Burton随后在Mozilla.Dev安全论坛上指出:
给EV的时间已经不多了,弃用EV是目前最呵护逻辑的可行解决方案。它将带领我们向前迈进,消除过去破旧的Web安全框架。既然我和Ian都已经证明了EV的基本问题及其在UI中的显示方式,真正的网络钓鱼使用EV危害网络将只是时间问题。
尽管Burton的说法有些浮夸,但贬低EV的言论和做法早已在行业中风行。谷歌已经不会在Chrome手机上显示EV,并且已经尝试在Chrome桌面中删除EV的独特指示器 - 通常被称为绿色地址栏 - 并且目前有一个标志可以移除所有EV效果。 Apple可能会在其移动和桌面浏览器Safari的未来版本中做类似的事情。
但同时,钓鱼网站的威胁也没他说得那么夸张。至少从最近一个月的数据显示,只有0.05%的HTTPS网络钓鱼网站使用了EV证书。这表明EV钓鱼网站的言论被夸大了。
------什么是伦敦协议?------
“伦敦协议”是CA提出的对组织验证和扩展验证SSL证书进行改进的提案。 它要求签署的CA之间进行前所未有的协作,因为它们共享数据并努力使OV和EV更安全。
它的目标是:
...改进身份保证并最大限度地降低由OV(组织验证)和EV(扩展验证)证书(统称为“身份网站”)加密的网站上的网络钓鱼活动的可能性。 “伦敦议定书”加强了身份网站之间的区别,使得用户比使用DV(域验证)证书加密的网站更加安全。 然后,其他人可以利用该安全功能来实现其自身的安全目的,包括告知用户他们正在访问的网站类型以及反安全算法中的反钓鱼引擎和浏览器过滤器。
已签署的CA已同意采取以下步骤:
监控他们已向其销售OV或EV SSL证书的网站的网络钓鱼报告
通知所述网站已发现网络钓鱼内容并提供补救说明
贡献一个通用数据库,以帮助减少未来的网络钓鱼工作
该议定书目前计划分为四个阶段,从6月开始到2019年3月结束。
时间表 | 详情 | |
1 | 2018 6月-8月 | 正式宣布议定书和参与者,CA将进一步制定议定书细则和研究实施的可行性 |
2 | 2018 9月- 11月 | 参与的CA将协议的概念应用于他们自己的客户,并与其他CA共享反馈 |
3 | 2018 12月- 2019 2月 | 参与的CA将更新协议策略并批准所有CA应用的统一策略的计划 |
4 | 2019 3月 | 参与的CA将向CAB论坛提交其报告和建议,以便对基线要求进行可能的更改 |
------伦敦协议会有用吗?------
在这一点上很难说。 坦率地说,这一切都取决于少数人的心血来潮 - 其中一些人表现出极大的不愿意进行这种讨论,这对他们来说是一种“诅咒”。
伦敦协议并非没有批评。 上个月,DigiCert拥有自己的同名CA,以及赛门铁克,GeoTrust,Thawte和RapidSSL,正式宣布退出CA Security,理由是对修复身份证书意见不合。
其实CA们有心这么做是好的,但它或许只能治标不能治本。身份证书,特别是扩展验证,需要超越售后市场网络钓鱼监控服务的合法改进。 如何协调验证和讨论在发生意外的情况下应该显示什么内容,无疑是一个挑战。
这些对话是必不可少的,如果Google和Apple的浏览器的高级版本有任何迹象,那么这些对话很快就会出现。但伦敦协议必须要有更详尽的计划来修复身份证书,而不仅仅是个提议。如果没有来自浏览器社区的支持,一切都没有意义。但这是一个好的开始,希望参与的CA展示的协作精神能够带来更大更好的东西。