中国证书颁发机构“错误地”为GitHub域颁发了SSL证书

证书颁发机构，名为沃辛，向未命名的Github用户颁发了Github域的基本证书。

但是怎么做呢？首先，你知道吗，传统的数字证书管理系统是当今互联网上最薄弱的环节，已经被打破了？

数十亿互联网用户盲目地依赖全球数百家认证机构（CA）来确保个人数据的机密性和完整性。

但是，这些CA有权为您拥有的任何域颁发有效的SSL证书，尽管您已经从另一个CA购买了一个。

这是CA系统中最大的漏洞。

在最新的案例中，WoSign也为GitHub域颁发了重复的SSL证书，但没有验证基本域的所有权。

这起事件最初由英国Mozilla程序员公开披露马卡姆在Mozilla的安全策略邮件列表上，该问题发生在一年多前的2015年7月，但未被报告。

Markham在邮件列表中写道：“2015年6月，一名申请人发现WoSign的免费证书服务存在问题，该服务允许他们获得基本域的证书，前提是他们能够证明对子域的控制”。

据Markham称，一名未具名的安全研究员在试图获取“未具名”证书时意外发现了这个安全错误ucf。但也错误地申请了www.ucf.edu’和WoSign批准了该计划，并递交了该大学主要领域的证书。

出于测试目的，研究人员还对Github基本域（即Github）使用了这种技巧。com和github。io，通过证明他对基于用户的子域的控制。

你猜怎么着？WoSign也提交了GitHub主域的证书。

研究人员仅以Github证书为例向WoSign报告了这个问题。因此，中国CA只撤销了GitHub证书，尽管两个证书都被撤销了。

为什么只有一个？CA公司很可能不具备任何跟踪能力，无法通过自我调查发现和撤销所有错误颁发的其他域的基本证书，即使在得知问题后也是如此。

研究人员最近与谷歌取得了联系，并报告说ucf。将近一年后，edu证书仍未被撤销。

如何检查您的域的恶意证书是否已颁发给其他人，可能是恶意攻击者？

解决方案：证书透明（Certificate Transparency，简称CT）是一项公共服务，允许个人和公司监控其域中秘密颁发的数字安全证书数量。

证书透明性要求CA公开（向证书日志）其生成的每个数字证书。就连WoSign也参与了CT。

证书日志为您提供了一种查找为您的域名颁发的所有数字证书的方法。

尽管证书透明并不能阻止CA颁发伪造证书，但它使检测恶意证书的过程变得更加容易。

目前，谷歌、赛门铁克、DigiCert和其他几家CAs正在托管公共CT日志。

您可以尝试谷歌的证书透明查找工具或科摩多的证书透明搜索工具，以检查为您的域颁发的公共证书透明日志中存在的所有证书。

如果您发现为您的域颁发的欺诈证书，请报告相应的CA并立即解决。