最近的一项学术研究发现,软件错误和行业标准的误解是主要原因发行的SSL证书,所有的错误事件的高达42%的比例大多数错误。该研究的作者是一个团队的计算布卢明顿印第安纳大学学院的信息,他们研究了错误的实例发出379 SSL证书,共计1300个多事件的发现。

研究人员从公共资源中收集事件数据,比如Mozilla的Bugzilla跟踪器,Firefox和Chrome浏览器安全团队的在线论坛讨论论坛。本研究旨在探讨认证机构(ca)如何符合业界标准,以及在签发ssl证书时出现错误的最常见原因。

研究小组得出的结论是,“签发SSL证书的大部分错误是由软件错误引起的”。

在他们的379例临床分析,有CA的91(24%)是一个软件平台引起的软件错误,造成客户接收到的是不兼容的SSL证书。

第二个最常见的原因是CA误解了CA / B论坛规则,或CA不知道规则已经改变,有69个案件的情况,通过考虑错误事件的18%已发行所有SSL证书。

问题数据,由恶意根CA引起,排在第三位,有52个SSL证书发出错误案例(占所有分析事件的14%),这是CA的故意行为,破坏了行业规则以获取利润,如向中间人出售证书。攻击者。

人为错误的第四个最常见的原因,37名患者(10%总计)。

第五位是操作错误,其中错误是由于CA的内部程序错误而造成的,而不是软件或人为错误,这占29个案例,占所有案例的8%。

第六根本原因是描述在检查客户身份时提交的错误的"非最优请求检查",通常允许欺诈客户端模拟另一个实体,例如,恶意软件作者已经获得了SSL证书合法的公司。研究人员发现24起此类事件,占所有SSL发布错误事件的6%。

发出错误的SSL证书的第七最常见的根本原因是“不正确的安全控制”,这是一个通用的类别,包括所有CA黑客攻击或以允许第三方获得SSL证书破天失去其基础设施的控制权。

标签: none

添加新评论