看完之後,說實話我是挺害怕的。我不知道 CA 的技術水平和流程嚴謹應該有怎樣的期待,但是報告所附的細節實在給我一種小作坊的感覺,令我難免有些擔憂。
首先是這些已經被發現(目前已被修復)的漏洞本身:允許使用非80和443埠認證、只要認證子域名就可以簽髮根域名證書(或者按照報告的說法,可以通過某種方式在驗證後添加額外的域名)、對 API 調用缺少驗證導致接受簽發和到期時間錯位的證書請求。這三個漏洞本身都是非常可怕,甚至在我看來是一個 CA 絕對不能犯的低級錯誤。
更可怕的是公布的相關細節:比如埠問題,漏洞是為了解決「一些用戶反應無法使用80和443埠進行驗證」這一需求而引入的,看到那張手寫的系統變更申請表,我真是感到後背發涼——驗證系統這麼重要的東西,說改就這麼改了?(順便有沒有業內人士能來說說 CA 修改驗證系統按流程規定是否需要公告?)可能影響就這麼一句「暫無」帶過了?整個流程兩天時間就走完了,到底有沒有做過論證調研?這個埠問題,同時具有敏感和漏洞利用相對容易、直接兩大特性(一個稱職的安全人員或者運維應該立刻能立刻引起警覺,繼而馬上想到在很多情況下非受信用戶也能夠控制高埠),這個變更就被這麼放過了實在有些……再比如誤髮根域名證書的問題, Mozilla 的郵件說得有理有據:漏洞發現者做了兩個例子( Github 和 http://ucf.edu ),報告了 Github 的那個例子給沃通,然後沃通修復並吊銷了誤發的 Github 根域名證書,結果同樣類型的 http://ucf.edu 非法根域名證書卻在一年之後仍然有效,以此為據在懷疑沃通的基本技術能力(犯下低級錯誤)之上,更懷疑其應對 incident 的能力(漏查同類型無效證書,未及時公告)。沃通在報告中花了很大篇幅辯解,稱 Github 的非法根域名證書即使當事人不報告也會被人工檢查發現,因為 Github 在他們的保護名單上(令我不解的是,即使人工審核多次發現誤發 Github 的根域名證書,審核團隊也以為只是「特殊情況」吊銷完事而並沒有提出 bug );而 http://ucf.edu 不在保護名單之中沒能被發現,沃通在第一次接到漏洞發現者的報告後並沒有清查資料庫,而是在後來接到 Mozilla 的再次通告和指責後才行動,不僅如此,沃通反倒還在報告中指責漏洞發現者沒有按照用戶協議主動報告誤發證書(即使報告了沃通多半也只是吊銷該證書了事而不去徹查;這個實驗的關鍵就是要看沃通能否及時發現並吊銷同類型的其他非法證書)……
報告中所附的系統變更申請表
「又有出現」、「昨天有兩個單」……到底要怎樣才能引起警覺?是否有風險控制系統?
最後,雖然我很少對中國程序員的英語有什麼微詞(我一直覺得交流只要達意即可),但這次情況不同,是公司官方通信,而且 CA 是一個特殊的、基礎性的技術工作,有其內在的、強制的國際性。——貴司是沒有一個英語過六級(順便能熟練使用 Word )的技術文書/秘書么?且不論王CEO在這樣一個半正式的郵件列表討論這麼重要敏感的問題時,發言頻見語病有時甚至到了影響意思表達的程度;這樣一份「報告」竟然都要王CEO親自上陣,結果弄成這樣,我也只能誇王先生身先士卒、工作辛苦了……
另外關於沃通和 StartCom 的關係,起初沃通的根證書是由 StartCom 交叉簽名的,一個新 CA 在成立時尋求其他 CA 交叉簽名其根證書是個正常的打入市場的手段(瀏覽器廠商接受新 CA 的流程漫長),但這一行為也同時意味著 StartCom 為沃通背書,要承擔相應的責任和風險(有時甚至是「連坐」的風險);如今沃通收購/入股 StartCom 也是合理合法(按照王CEO的說法他們也沒有法律義務需要公開股權關係,但相應的,他也要承擔此「隱秘行動」帶來的可能的信任風險),因此使得瀏覽器廠商和公眾將兩者視為關係更緊密的一體也是自然而然的,王CEO聲稱兩家公司「完全獨立」多少有些一廂情願。
這裡可能有幾點可以關注: 1-不同CA可以給同一個域名簽發證書,而他們之間沒有共享機制,於是有了公共證書透明日誌的東西,google和comodo不是有公開的查詢工具么 2-沃通不充分審核申請者對域名的擁有權就簽發證書,是他們管理問題 3-沃通默認只要申請簽發子域名證書,就連同根域名一起簽發,這算買一送一嗎 4-由於2-3甚至更多的問題導致github證書誤簽發,沃通的處理方式很原始粗放,不太像是個中國最大的證書籤發機構還有的樣子 5-中國企業有錢,只要價格談得攏,有一天收購了verisign也可以啊,何況以色列那家公司。還有一個,偷偷收購自己根CA這種做法,好像有家很出名的美國安全公司也做了,這樣會削弱它簽發證書的可信度和權威性吧 6-有點不明白,這次誤簽發,發現者有可能從哪些方式實現了中間人攻擊呢
倒不是抬杠,我就列幾個其他回答(可能)沒注意到的事實。
今年初的新聞,StartCom被360託管:Why I stopped using StartSSL (Hint: it involves a Chinese company)
如果是程序/代碼漏洞,我可以完全忽略這次事件,靜等他們修復bug,然後這段時間留心點就好 如果是流程有問題,我可以暫時不使用沃通服務,對沃通簽名的證書暫時警惕一下,靜等公司公告 如果是有意簽發假證書,我的黑名單里已經有一個前輩了
引用 WoSign CEO 在郵件列表的原文:
WoSign issued about 120K SSL certificates for websites in China including many central government websites like MIIT and many other local province government websites, many university websites, many online banking websites, 6 of the Top 10 ecommerce websites, big supermarket online store like Walmart, 4 of the Top 5 cloud service in China, and many big companies that listed in NYSE and Nasdaq, and many subsidiaries of foreign countries big companies.
有 bug 不可怕,撒謊把自己都說服了才可怕。
更新下 WoSign CEO 的回復:
Your top 10 or top 5 is not same as my top 10 or top 5. BTW, http://Dangdang.com is using our certificate: SSL Server Test: login.dangdang.com (Powered by Qualys SSL Labs)
Some is also using our certificate that you don"t know.
