请帮助验证我对域验证 (DV) SSL 证书的理解

信息安全 tls 密码学
2021-08-28 21:02:41

这是我目前通过阅读各种关于 DV SSL 的知识库和文章所了解的。任何人都可以帮助澄清这些是否有误?

  • DV SSL(和一般的 SSL 证书)仅与域名相关联,而不是在 DNS 下为该域配置的 IP 地址。因此,如果我更改域的 A 记录上的 IP,我不需要重新购买另一个 SSL 证书
  • 大多数 DV SSL 提供商(例如:GoDaddy)将通过向域“whois”记录中注册的地址发送电子邮件来验证域名所有权
  • 虽然 DV SSL 是 SSL 认证的“最低端”,但只要私钥和电子邮件密码没有落入坏人之手,黑客应该无法为我的域注册 DV SSL 和/或设置假的我的域名下的网络钓鱼网站,没有浏览器警告用户可能受到攻击
3个回答

证书颁发机构在向实体E颁发证书之前,在证书中包含E的名称和E的公钥,应该验证所讨论的公钥确实属于E对于 SSL 服务器证书:

  • E的名字是一个主机名,比如www.google.com,可能带有一个“通配符”( *.google.com)。这是SSL 客户端验证的内容;这都是关于名称,而不是 IP 地址。
  • CA 作为证书请求接收公钥

因此,此处有效的“身份”概念实际上是域所有权问题。CA 希望确保它收到来自控制域的人的请求。有几种方法可以做到这一点;最常用的两个如下:

  • CA 通过电子邮件向WHOIS数据库中为域指定的电子邮件地址发送质询
  • CA 向请求者提出要包含在域中的一些信息,例如要包含在 DNS 中的随机主机名。

这些检查不是非常强大(它们依赖于“不可能”分别侵入电子邮件或 DNS,都没有得到很好的保护),因此最近有一种更强大的验证方式,称为扩展验证证书对于 EV 证书,CA 应该做更多的文书工作以确保它与正确的实体对话。回顾过去,非 EV 证书被称为“DV”(作为“域验证”)。

EV 证书的最终效果是 Web 浏览器可以识别它们,并可能以更奢华的显示方式向人类用户展示这一事实,并带有大量绿色。但非 EV 证书在技术上也同样有效。仅当您的用户接受过培训以识别 EV 证书并且对 EV 证书比使用“普通”证书(仍以著名的“挂锁”图标显示)更舒服时,EV 证书才值得付出努力。现在,我想说大多数互联网用户还远远没有意识到这种区别,所以购买 EV 证书是没有用的。

(当 EV 证书成为强制性时,即当 Web 浏览器开始拒绝或警告看似有效但未标记为“EV”的 SSL 服务器证书时,它们将变得有用。这是一个相当艰难的过渡,我认为它不会发生在不久的将来。)

要让坏人获得看似有效的证书,其中包含您的服务器名称(发动真正成功的模拟攻击的先决条件),他必须执行以下操作之一:

  • 愚弄 CA。对于 EV 证书,欺骗 CA 更难(这就是重点)。但是,即使获得了 EV 证书,也无法阻止攻击者以您的名义从易受骗的 CA 获得非 EV 证书。仅当您的客户接受过培训,当他们看到带有您的站点名称的看似有效但非 EV 证书时,他们会暂停并变得怀疑,EV 证书将保护您免受草率的 CA 的侵害。这在现在看来几乎不现实。

  • 窃取你的私钥。如果攻击者窃取了您的私钥,那么他可以将它与您的证书(是公开的)一起使用来安装他的假服务器。EV 或非 EV 在这里无关紧要;重要的是你应该很好地保护你的私钥。如果您的服务器被入侵,请通知 CA 以便它可以撤销您的证书,并为您颁发另一个证书(使用新密钥)。

  • 当显示无效证书时,欺骗人类用户忽略来自浏览器的非常红色和可怕的警告。除非通过教育您的用户,否则您无法真正防御这一点。随着时间的推移,Web 浏览器显示的警告往往会增加恐惧(和发红)。

  • 欺骗人类用户使用完全有效的证书和看起来像预期服务器名称的名称连接到攻击者拥有的域。例如www.gogle.comwww.google.business.com代替www.google.com(虚构的例子)。再说一次,只有用户教育才能真正解决这个问题。

大多数网络钓鱼攻击都基于最后两种方法之一,因此这意味着您不必过度担心 DV/EV 的二分法。安全方面真正重要的一点是用户教育

域验证 SSL 证书 (DV) 在技术上与扩展验证证书 (EV) 相同。

EV证书更贵的原因是,除了域名之外,卖家还必须检查有关您身份的更多信息。要验证您确实是他的所有者,google.com他需要与您联系并且必须进行其他管理工作。

对于大多数较小的网站,域验证证书很好,用户不会有任何劣势,而且在我看来 EV 证书真的太贵了(努力并不能证明价格合理)。

目前的答案有一些不准确之处:

  • EV SSL 将身份与证书中的公钥匹配
  • DV SSL 不

所有经过域验证的 SSL 所做的都是证明您拥有一个域名。DV SSL 证书在法人实体和证书之间没有任何联系。

在当前答案中:

没有浏览器警告用户可能受到攻击,任何黑客都不能为我的域注册 DV SSL 和/或在我的域名下设置虚假网络钓鱼网站

这是不正确的:

  • 有人可以注册 yourdomainlogin.com 或 yourdomain.com.tld。以下是为https://google.com.mghttps://google.com.im颁发的域验证证书

  • 其他任何人都可以注册*.otherdomain.com然后稍后添加主机 yourdomaincom.otherdomain.com。这就是网络钓鱼诈骗的运作方式DV SSL 允许使用此类通配符,而 EV 则禁止使用此类通配符。

  • 对真的。您可以获得像 somecompanysupport.com 这样的域的域验证证书,即使您与 Some Company 没有任何关系,这也很好。

从当前标记的答案:

“实体的名称是主机名,这是 SSL 证书验证的内容”

仅对域验证证书正确。主题- SSL 证书正在验证拥有证书中的公钥的内容可能是

  • 域验证证书的域名(或通配符域)。同样,域验证 SSL 不会断言这与任何特定的法律实体匹配。

  • 通过 EV 证书验证的企业或法人组织的 ID

来自https://certsimple.com/blog/are-ev-ssl-certificates-worth-it

查看域验证证书:

openssl x509 -in domain-validated-example.com.crt -noout -text | grep Subject
 OU=Domain Control Validated
 CN=billing.example.com
 DNS:billing.example.com

这是一个 EV 证书,包含政府注册的公司 ID 而不是域名:

openssl x509 -in extended-validated-example.com.crt -noout -text | grep Subject:
   jurisdictionOfIncorporationCountryName=GB
   businessCategory=Private Organization
   serialNumber=09378892
   C=GB
   ST=City of London
   L=London
   O=example Limited
   CN=billing.example.com
   DNS:billing.example.com -

英国的公司在英国范围内的一个名为 Companies House 的组织中注册。上面证书中的序列号 09378892 是来自 Companies House 的公司注册号。

在美国,组织是按州注册的,因此美国证书中的序列号是指相关国务卿的公司 ID。

其它你可能感兴趣的问题
上一篇您如何捕获来自 Android 应用程序的所有流量? 下一篇评估 PRNG 中的熵收集