憑證頒發機構瀏覽器論壇Certification Authority Browser Forum(CA/Browser Forum)近日通過了HTTPS憑證兩項新的安全要求,包括多方發行驗證(Multi-Perspective Issuance Corroboration,MPIC),以及憑證檢查(Linting),並已於今年3月15日正式實施,而這兩項要求都是由Google內部的瀏覽器憑證管理專案Chrome Root Program所提出。
CA/Browser Forum是由憑證頒發機構(CA)、作業系統業者、瀏覽器開發商、安全電子郵件軟體供應商,以及其它支援PKI之應用程式供應商所組成的聯盟,設有伺服器憑證工作小組、程式碼簽章工作小組及S/MIME憑證工作小組,負責替相關業者制定網路安全標準。而HTTPS指的則是利用TLS或SSL技術來加密傳輸封包的安全協定,在建立HTTPS連結之前,瀏覽器必須藉由CA所頒發的憑證來驗證所連結的伺服器身分,確保網站身分的可信度。
由Google所開發的Chrome是目前全球最受歡迎的瀏覽器,市占率高達67%,根據該公司的統計,綜合在Android、Chrome OS、macOS及Windows上的Chrome流量,有超過92%都是透過HTTPS傳輸的。
Google說明,在CA頒發憑證之前,必須先驗證申請者是否合法控制憑證中將顯示的網頁域名稱,此一程序稱為「網域控制驗證」,並已有幾種明確定義的方法可供使用,例如由CA指定一個隨機值置放於所申請的網站上,然後進行檢查以驗證申請者能否真能發布該值;但曾有駭客先透過BGP劫持以竊取特定網站的流量,使CA誤以為駭客控制該站的網域名稱,進而成功申請合法憑證,駭客以所獲得的憑證建立了惡意網站,並取信於使用者,成功竊取了價值200萬美元的加密貨幣。
因此,Google提出了MPIC,它不是僅從單一地理或路由有利位置來執行網域控制的驗證,而是藉由多個不同的地理位置或多個網路服務供應商來執行同樣的驗證,降低因路由攻擊而錯誤頒發憑證的可能性,有效防禦BGP劫持。
至於Linting則是一種自動化流程,用於分析憑證以偵測及防止錯誤、不一致或不合標準的情況,確保憑證的格式正確,並包含其預期用途所需的必要資料,例如網站驗證。然而,過去CA並未被強制要求執行Linting,而只是選擇性的使用它,自今年3月15日開始,所有的CA在頒發憑證的過程中都必須執行Linting,降低誤發憑證的風險。
除了上述兩項已經施行的憑證頒布安全機制外,Google也已提議淘汰某些基於WHOIS的弱驗證。WHOIS為一公共資料庫,可用來查詢網域名稱的註冊資訊,也被CA用於網域控制驗證,然而,隨著隱私保護措施的強化,許多網域名稱的註冊者已選擇隱藏其個人資料,此外,WHOIS曾因忘了續約一個.mobi的網站,被一個安全研究團隊以20美元買下,該團隊發現,仍有包括CA在內的數十萬個系統向該網站發送查詢,並利用此一漏洞展開模擬攻擊,成功展示了如何欺騙CA以錯誤頒發憑證,曝露WHOIS系統的潛在風險。
於是Google提議淘汰基於WHOIS的電子郵件、電話,以及傳真與實體郵件等驗證方法,以推動更安全的網域控制驗證機制,該禁令預計於今年的7月15日生效。
