引言
随着互联网电子商务的快速应用和电子支付的蓬勃发展,越来越多的Web应用开始部署支持HTTPS,需要Web应用开发者同步部署HTTPS证书来实现安全可信的互联网应用。最初HTTPS证书颁发与网站域名一一对应,然而随着技术的发展,一个组织需要多个HTTPS网站应用,因此同一个组织内的不同个体共享证书就成为一种典型的应用场景,尤其是同一组织内部不同网站共享同一个证书是常见的典型场景,甚至在使用内容分发网络(CDN)服务后,两个毫无关联的网站因为使用同一个CDN服务商而不得不共享同一个HTTPS证书也很常见。针对需要共享证书的场景,目前很多公有云服务商都提供共享型增强证书的解决方案,但共享证书的场景实际存在很大风险,当前利用共享证书之间网站的安全脆弱性进行中间人攻击已经存在[1]。研究数据表明,世界排名前100的HTTPS网站及其子网站,63%存在可能被攻击的风险,可见这类安全风险隐患具有一定的普遍性。中间人攻击本质上是利用了证书共享中客户端对证书的信任关系,虽然部署证书应用的服务器安全配置和防护级别很高,但是攻击者可以通过攻击另一个共享同一个证书的配置相对薄弱的服务器,在获取了服务器的权限后,利用共享证书的信任关系实现对其他服务器的中间人劫持攻击,甚至可将HTTPS降级为明文传输的HTTP,从而实现传输内容的监听和篡改[1]。
本文详细内容请下载:
http://www.chinaaet.com/resource/share/2000006087
作者信息:
邹立刚1,张逸凡1,张新跃2,袁建廷3
(1.北京国科云计算技术有限公司,北京100190;
2.中国互联网络信息中心,北京100190;
3.新疆大学信息科学与工程学院,新疆乌鲁木齐,830046)
