? ? ? ?隨著免費(fèi)和自動(dòng)化的SSL證書(shū)被不斷普及，釣魚(yú)網(wǎng)站使用SSL證書(shū)的數(shù)量激增。這一事實(shí)一度成為業(yè)內(nèi)最熱門(mén)的爭(zhēng)論話題之一，反對(duì)聲連綿不斷。

? ? ? ?明年起，Let's Encrypt將開(kāi)始支持通配符證書(shū)。這將在關(guān)于網(wǎng)絡(luò)釣魚(yú)的爭(zhēng)論中產(chǎn)生一個(gè)新的角度，因?yàn)橥ㄅ浞C書(shū)的獨(dú)特能力掩蓋了它們的預(yù)期用途：犯罪分子和釣魚(yú)者很可能將會(huì)使用通配符證書(shū)來(lái)加強(qiáng)他們隱藏主機(jī)名的能力，使這種能力更加通用。通配符證書(shū)甚至可以取代單域證書(shū)作為首選工具。

通配符證書(shū)×釣魚(yú)者

? ? ? ?使用傳統(tǒng)的SSL證書(shū)，完整的主機(jī)名被列在證書(shū)中。客戶端檢查這些主機(jī)名，以確保在訪問(wèn)這些站點(diǎn)時(shí)只使用該證書(shū)——如果使用其他主機(jī)名，則將其視為無(wú)效。

對(duì)于單域證書(shū)，只能包含一個(gè)主機(jī)名，例如：“www.example.com”。多域證書(shū)可以允許多達(dá)數(shù)百個(gè)主機(jī)名。每一個(gè)都被獨(dú)立地列出，例如——www.example.com、mail.example.com、cpanel.example.com等。

通配符證書(shū)的工作原理不同。使用通配符證書(shū)，域名中最左邊的標(biāo)簽將被一個(gè)星號(hào)替換。這是字面意義上的“通配符”字符，它告訴客戶端證書(shū)對(duì)于該標(biāo)簽的每個(gè)可能的名稱(chēng)都是有效的。對(duì)于通配符證書(shū)，證書(shū)中包含的主機(jī)名將是“*.example.com”，對(duì)于我們?cè)谏弦粋€(gè)示例中列出的所有名稱(chēng)，它都是有效的。

如果你想要通過(guò)單域或多域證書(shū)來(lái)對(duì)Paypal、蘋(píng)果公司或巴克萊銀行進(jìn)行釣魚(yú)，那么你會(huì)得到這樣的證書(shū)：

paypal.secure-account.comApple-id.support-com.online

bankofamerica.verify-account.com

而如果你想要通過(guò)通配符證書(shū)為那些同樣這些公司創(chuàng)建釣魚(yú)網(wǎng)站的話，那么域名看起來(lái)是這樣的：

*.support-com.com

當(dāng)客戶端接收到該證書(shū)時(shí)，它會(huì)將其視為“paypal.support-com”或“apple id.support-com.com”或任何其他字母和數(shù)字的組合。根據(jù)你的根域的通用程度，你可以使用這樣一個(gè)證書(shū)來(lái)進(jìn)行所有的釣魚(yú)詐騙。

? ? ? 這一屬性使得通配符證書(shū)可以將我們稱(chēng)之為“釣魚(yú)位”的東西，這是域名中最容易識(shí)別出釣魚(yú)目標(biāo)的部分。

對(duì)通配符是有所約束的，它們可以使用的場(chǎng)景受到一定的限制。只能有一個(gè)“*”號(hào)，而且該符號(hào)必須處于最左邊。因此，“www.*.secure.com”是不允許的。它也不能在TLD之后直接使用。所以“*.com”也是不允許的。

這也就意味著“釣魚(yú)位”也必須處于最左的位置。下面的主機(jī)名與真實(shí)世界的釣魚(yú)網(wǎng)站相似，但它們無(wú)法利用通配符證書(shū)進(jìn)行釣魚(yú)：

paypal-com-update.netwww.paypal-limited.us.helpsecured.cf

? ? ? ?自從通配符證書(shū)被發(fā)明以來(lái)，使用這種證書(shū)來(lái)隱藏一個(gè)釣魚(yú)網(wǎng)站已經(jīng)成為可能。你可以從任何證書(shū)頒發(fā)機(jī)構(gòu)購(gòu)買(mǎi)一個(gè)通配符證書(shū)，而且它們幾乎沒(méi)有任何方法可以阻止你使用它來(lái)實(shí)現(xiàn)任何你想要的目的。他們通常用來(lái)阻止向一個(gè)釣魚(yú)網(wǎng)站頒發(fā)證書(shū)的方法需要知道主機(jī)名。

? ? ? ?多年來(lái)，網(wǎng)絡(luò)釣魚(yú)者一直在使用通配符證書(shū)。然而，由于網(wǎng)絡(luò)釣魚(yú)證書(shū)花費(fèi)的成本通常是單域證書(shū)的5倍以上，對(duì)于大多數(shù)網(wǎng)絡(luò)釣魚(yú)來(lái)說(shuō)，它們?cè)诮?jīng)濟(jì)上是不可行的。絕大多數(shù)使用SSL證書(shū)的釣魚(yú)網(wǎng)站使用的都是單域證書(shū)，因?yàn)樗鼈兪橇畠r(jià)或免費(fèi)的。

禍從何起

SSL世界中另一個(gè)最新的發(fā)展是證書(shū)透明機(jī)制，或稱(chēng)為CT。

? ? ? ?CT是一個(gè)在集中的列表中公開(kāi)記錄(“日志”)SSL證書(shū)的系統(tǒng)。它允許對(duì)證書(shū)頒發(fā)機(jī)構(gòu)進(jìn)行監(jiān)督，并檢測(cè)不適當(dāng)頒發(fā)或未經(jīng)授權(quán)的證書(shū)。通過(guò)監(jiān)視這些日志，我們可以獲得證書(shū)頒發(fā)機(jī)構(gòu)正在頒發(fā)的證書(shū)的實(shí)時(shí)更新情況，這些日志可以用于發(fā)現(xiàn)各種問(wèn)題，包括證書(shū)頒發(fā)機(jī)構(gòu)受到的威脅——比如2011年DigiNotar發(fā)生的事情。

? ? ? ?這些日志的另一個(gè)好處是，它們可以被用作發(fā)現(xiàn)新的釣魚(yú)網(wǎng)站的檢測(cè)系統(tǒng)。通過(guò)定期查詢(xún)可能用于釣魚(yú)的術(shù)語(yǔ)，比如“paypal”，你可以快速找到新的釣魚(yú)網(wǎng)站的主機(jī)名，并屏蔽或標(biāo)記它們。

? ? ? ?日志可以在證書(shū)發(fā)布后30分鐘內(nèi)更新，這使它成為發(fā)現(xiàn)潛在惡意站點(diǎn)的主機(jī)名的最快方法之一。我們知道至少有那么幾個(gè)機(jī)構(gòu)使用日志來(lái)達(dá)到這個(gè)目的。

? ? ? 通過(guò)將日志作為釣魚(yú)檢測(cè)系統(tǒng)，想要使用SSL證書(shū)來(lái)讓他們的網(wǎng)站看起來(lái)更合法的網(wǎng)絡(luò)釣魚(yú)者實(shí)際上更容易被抓獲。

但是，只有當(dāng)整個(gè)主機(jī)名被包含在證書(shū)中時(shí)，該方法才能起作用，而通配符證書(shū)則不是這樣。對(duì)于通配符證書(shū)，我們將只能看到“*.online-account.us”，而無(wú)法通過(guò)搜索日志看到“paypal.online-account.us”。

? ? ? 如果大多數(shù)的釣魚(yú)站點(diǎn)開(kāi)始使用通配符證書(shū)而不是單域或多域證書(shū)，那么CT日志將成為一種無(wú)效的檢測(cè)系統(tǒng)。

? ? ? 除了主動(dòng)使用日志作為一個(gè)網(wǎng)絡(luò)釣魚(yú)檢測(cè)系統(tǒng)外，搜索這些證書(shū)的能力對(duì)研究也很有用。今年早些時(shí)候，我們使用SSL證書(shū)對(duì)“paypal”釣魚(yú)網(wǎng)站的數(shù)量進(jìn)行了量化——如果通配符證書(shū)被網(wǎng)絡(luò)釣魚(yú)者廣泛使用的話，這樣做將會(huì)變得更加困難。

利大于弊

盡管通配符證書(shū)讓網(wǎng)絡(luò)釣魚(yú)者的生活變得更輕松，而使研究人員的工作更加困難了，但它們?nèi)匀黄鸬搅酥匾淖饔谩?/p>

有一些用例，單域或多域證書(shū)不容易適用。例如，如果你想為每個(gè)注冊(cè)你的服務(wù)的用戶分配一個(gè)唯一的子域：如cpanel-01.example.com，cpanel-02.example等。必須不斷地為這些主機(jī)名頒發(fā)新的證書(shū)，這對(duì)于許多站點(diǎn)來(lái)說(shuō)，是無(wú)法實(shí)現(xiàn)的工程學(xué)挑戰(zhàn)。有時(shí)，軟件對(duì)它能提供多少證書(shū)有限制，如果用戶被多域證書(shū)所困擾，而不得不將所有的主機(jī)名全部列出，那么這可能會(huì)產(chǎn)生一個(gè)限制。

? ? ? ?當(dāng)所有證書(shū)頒發(fā)機(jī)構(gòu)(在2018年中期)都強(qiáng)制要求證書(shū)透明系統(tǒng)時(shí)，一些用戶將希望使用通配符“隱藏”子域，因?yàn)樗麄儞?dān)心將自己的主機(jī)名公開(kāi)列出將產(chǎn)生一個(gè)漏洞，或者使他們本來(lái)希望不被了解的服務(wù)被識(shí)別出來(lái)。

? ? ? ?研究人員Hanno Bock通過(guò)搜索CT記錄來(lái)發(fā)現(xiàn)和入侵未經(jīng)認(rèn)證的web應(yīng)用程序，證實(shí)了這一屬性。雖然依賴(lài)“黑箱”安全模型來(lái)隱藏你的域并不是解決這個(gè)問(wèn)題的正確方法，但它確實(shí)展示了另一個(gè)使用通配符的示例。

? ? ? ?因此，“殺死”通配符證書(shū)并不是一個(gè)實(shí)際的解決方案。相反，我們只是需要意識(shí)到并適應(yīng)這種新的行為，我相信，在Let’s Encrypt明年年初開(kāi)始提供免費(fèi)通配符證書(shū)之后，這種新行為將變得很普遍。對(duì)于需要免費(fèi)證書(shū)的網(wǎng)站和用戶來(lái)說(shuō)，這將是一個(gè)巨大的利好——大大超過(guò)由此帶來(lái)的網(wǎng)絡(luò)釣魚(yú)對(duì)他們的損害。

文章轉(zhuǎn)載至：https://www.kingnettech.com/news/hyxw/75.html

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20369.html