? ? ? ?隨著免費和自動化的SSL證書被不斷普及，釣魚網(wǎng)站使用SSL證書的數(shù)量激增。這一事實一度成為業(yè)內(nèi)最熱門的爭論話題之一，反對聲連綿不斷。

? ? ? ?明年起，Let's Encrypt將開始支持通配符證書。這將在關(guān)于網(wǎng)絡(luò)釣魚的爭論中產(chǎn)生一個新的角度，因為通配符證書的獨特能力掩蓋了它們的預(yù)期用途：犯罪分子和釣魚者很可能將會使用通配符證書來加強他們隱藏主機名的能力，使這種能力更加通用。通配符證書甚至可以取代單域證書作為首選工具。

通配符證書×釣魚者

? ? ? ?使用傳統(tǒng)的SSL證書，完整的主機名被列在證書中?？蛻舳藱z查這些主機名，以確保在訪問這些站點時只使用該證書——如果使用其他主機名，則將其視為無效。

對于單域證書，只能包含一個主機名，例如：“www.example.com”。多域證書可以允許多達數(shù)百個主機名。每一個都被獨立地列出，例如——www.example.com、mail.example.com、cpanel.example.com等。

通配符證書的工作原理不同。使用通配符證書，域名中最左邊的標簽將被一個星號替換。這是字面意義上的“通配符”字符，它告訴客戶端證書對于該標簽的每個可能的名稱都是有效的。對于通配符證書，證書中包含的主機名將是“*.example.com”，對于我們在上一個示例中列出的所有名稱，它都是有效的。

如果你想要通過單域或多域證書來對Paypal、蘋果公司或巴克萊銀行進行釣魚，那么你會得到這樣的證書：

paypal.secure-account.comApple-id.support-com.online

bankofamerica.verify-account.com

而如果你想要通過通配符證書為那些同樣這些公司創(chuàng)建釣魚網(wǎng)站的話，那么域名看起來是這樣的：

*.support-com.com

當(dāng)客戶端接收到該證書時，它會將其視為“paypal.support-com”或“apple id.support-com.com”或任何其他字母和數(shù)字的組合。根據(jù)你的根域的通用程度，你可以使用這樣一個證書來進行所有的釣魚詐騙。

? ? ? 這一屬性使得通配符證書可以將我們稱之為“釣魚位”的東西，這是域名中最容易識別出釣魚目標的部分。

對通配符是有所約束的，它們可以使用的場景受到一定的限制。只能有一個“*”號，而且該符號必須處于最左邊。因此，“www.*.secure.com”是不允許的。它也不能在TLD之后直接使用。所以“*.com”也是不允許的。

這也就意味著“釣魚位”也必須處于最左的位置。下面的主機名與真實世界的釣魚網(wǎng)站相似，但它們無法利用通配符證書進行釣魚：

paypal-com-update.netwww.paypal-limited.us.helpsecured.cf

? ? ? ?自從通配符證書被發(fā)明以來，使用這種證書來隱藏一個釣魚網(wǎng)站已經(jīng)成為可能。你可以從任何證書頒發(fā)機構(gòu)購買一個通配符證書，而且它們幾乎沒有任何方法可以阻止你使用它來實現(xiàn)任何你想要的目的。他們通常用來阻止向一個釣魚網(wǎng)站頒發(fā)證書的方法需要知道主機名。

? ? ? ?多年來，網(wǎng)絡(luò)釣魚者一直在使用通配符證書。然而，由于網(wǎng)絡(luò)釣魚證書花費的成本通常是單域證書的5倍以上，對于大多數(shù)網(wǎng)絡(luò)釣魚來說，它們在經(jīng)濟上是不可行的。絕大多數(shù)使用SSL證書的釣魚網(wǎng)站使用的都是單域證書，因為它們是廉價或免費的。

禍從何起

SSL世界中另一個最新的發(fā)展是證書透明機制，或稱為CT。

? ? ? ?CT是一個在集中的列表中公開記錄(“日志”)SSL證書的系統(tǒng)。它允許對證書頒發(fā)機構(gòu)進行監(jiān)督，并檢測不適當(dāng)頒發(fā)或未經(jīng)授權(quán)的證書。通過監(jiān)視這些日志，我們可以獲得證書頒發(fā)機構(gòu)正在頒發(fā)的證書的實時更新情況，這些日志可以用于發(fā)現(xiàn)各種問題，包括證書頒發(fā)機構(gòu)受到的威脅——比如2011年DigiNotar發(fā)生的事情。

? ? ? ?這些日志的另一個好處是，它們可以被用作發(fā)現(xiàn)新的釣魚網(wǎng)站的檢測系統(tǒng)。通過定期查詢可能用于釣魚的術(shù)語，比如“paypal”，你可以快速找到新的釣魚網(wǎng)站的主機名，并屏蔽或標記它們。

? ? ? ?日志可以在證書發(fā)布后30分鐘內(nèi)更新，這使它成為發(fā)現(xiàn)潛在惡意站點的主機名的最快方法之一。我們知道至少有那么幾個機構(gòu)使用日志來達到這個目的。

? ? ? 通過將日志作為釣魚檢測系統(tǒng)，想要使用SSL證書來讓他們的網(wǎng)站看起來更合法的網(wǎng)絡(luò)釣魚者實際上更容易被抓獲。

但是，只有當(dāng)整個主機名被包含在證書中時，該方法才能起作用，而通配符證書則不是這樣。對于通配符證書，我們將只能看到“*.online-account.us”，而無法通過搜索日志看到“paypal.online-account.us”。

? ? ? 如果大多數(shù)的釣魚站點開始使用通配符證書而不是單域或多域證書，那么CT日志將成為一種無效的檢測系統(tǒng)。

? ? ? 除了主動使用日志作為一個網(wǎng)絡(luò)釣魚檢測系統(tǒng)外，搜索這些證書的能力對研究也很有用。今年早些時候，我們使用SSL證書對“paypal”釣魚網(wǎng)站的數(shù)量進行了量化——如果通配符證書被網(wǎng)絡(luò)釣魚者廣泛使用的話，這樣做將會變得更加困難。

利大于弊

盡管通配符證書讓網(wǎng)絡(luò)釣魚者的生活變得更輕松，而使研究人員的工作更加困難了，但它們?nèi)匀黄鸬搅酥匾淖饔谩?/p>

有一些用例，單域或多域證書不容易適用。例如，如果你想為每個注冊你的服務(wù)的用戶分配一個唯一的子域：如cpanel-01.example.com，cpanel-02.example等。必須不斷地為這些主機名頒發(fā)新的證書，這對于許多站點來說，是無法實現(xiàn)的工程學(xué)挑戰(zhàn)。有時，軟件對它能提供多少證書有限制，如果用戶被多域證書所困擾，而不得不將所有的主機名全部列出，那么這可能會產(chǎn)生一個限制。

? ? ? ?當(dāng)所有證書頒發(fā)機構(gòu)(在2018年中期)都強制要求證書透明系統(tǒng)時，一些用戶將希望使用通配符“隱藏”子域，因為他們擔(dān)心將自己的主機名公開列出將產(chǎn)生一個漏洞，或者使他們本來希望不被了解的服務(wù)被識別出來。

? ? ? ?研究人員Hanno Bock通過搜索CT記錄來發(fā)現(xiàn)和入侵未經(jīng)認證的web應(yīng)用程序，證實了這一屬性。雖然依賴“黑箱”安全模型來隱藏你的域并不是解決這個問題的正確方法，但它確實展示了另一個使用通配符的示例。

? ? ? ?因此，“殺死”通配符證書并不是一個實際的解決方案。相反，我們只是需要意識到并適應(yīng)這種新的行為，我相信，在Let’s Encrypt明年年初開始提供免費通配符證書之后，這種新行為將變得很普遍。對于需要免費證書的網(wǎng)站和用戶來說，這將是一個巨大的利好——大大超過由此帶來的網(wǎng)絡(luò)釣魚對他們的損害。

文章轉(zhuǎn)載至：https://www.kingnettech.com/news/hyxw/75.html

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會在5工作日內(nèi)聯(lián)系您，一經(jīng)查實，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://www.cokiv.cn/20369.html