Facebook帮助公司检测域名的流氓SSL证书
Facebook推出了一个工具,允许域名所有者发现未经他们知识发出的TLS / SSL证书。
该工具使用从可公开访问的许多证书透明度日志中收集的数据。证书透明度(CT)是一个新的开放式标准,需要证书颁发机构披露他们发出的证书。
直到几年前,没有办法跟踪每个证书颁发机构(CA)发出的证书。最多,研究人员可以扫描整个网络并收集在公共服务器上使用的证书。这使得在未经批准“所有者的情况下,难以发现CAS发布域名证书的案例。
由于技术或人为错误,过去已经有许多证书错误,或者由于CA的基础设施被黑客遭到妥协,然后滥用它以发出高调域的证书。此类证书有效,可用于中间人攻击,以拦截到HTTPS保护的网站的流量。
并非所有世界的CAS都采用了CT,但最终将被迫这样做。例如,谷歌计划在2017年10月1日发布的所有证书中制定CT合规性强制性。这意味着发布但未发布到CT日志的任何证书都不会在Chrome中受到信任。
Facebook最初建立了其内部使用的CT监控服务,该服务已帮助该公司的安全团队发现至少有两份为FB.com子域发出的证书而无需知识。调查显示,CA由CA颁发的另一支团队在Facebook内未能通知安全团队的要求发布。
与许多其他大型组织一样,Facebook在4月博客文化帖子中表示,使用各种网站进行外包给第三方的营销和特殊活动。“证书透明度监控允许我们即使我们将直接管理委派给另一方,也可以跟踪这些网站。”
通过该服务能够在一个小时内检测错误发出的证书,Facebook决定在其中构建一个公共工具,以帮助其他公司以类似的方式跟踪其域的证书。
该工具允许用户查找域名已存在的证书,以及订阅新的证书在域的CT日志中出现的电子邮件警报。
“如果您收到CA发出的通知,即您发现了您拥有的域的证书,您可能希望联系CA,确保您的身份不会受到损害,并考虑撤销证书,”Bartosz Facebook“产品安全团队的软件工程师Niemczura在博客帖子中表示。
