我们都知道,SSL证书可以对客户端和服务器之间的数据传输内容进行加密,是由第三方权威机构CA负责审核、颁发。但是,CA在颁发证书时并非正确无误,CA机构错误签发SSL证书的事故频繁发生,今天我们就来探讨一下SSL证书为什么会被错误签发。
在某些时候,CA机构错误颁发的SSL证书有可能会被不法分子所利用,进行恶意攻击,例如用于发起中间人攻击、发起钓鱼攻击、窃取HTTPS通信内容等等。在早些时候,曾有人对SSL证书被错误签发的原因展开了研究,研究人员通过对公共渠道收集的几百起SSL证书发行错误实例进行总结,共找出了六种SSL证书被错误签发的原因。
该研究结果显示,CA机构的软件平台错误是导致错误签发发生的最大原因,共有24%的错误签发事件为该原因导致。造成错误签发的第二大的原因是CA在无意间违反了CA/B论坛的规定,占所有案例的18%。排名第三的原因则是CA于利益考虑而故意违规,占比14%。
除了上述占比较大的原因之外,CA内部程序错误(8%)、对申请用户的身份检查不到位(6%)、CA机构被入侵或失去对系统的控制(6%)也是导致SSL证书被错误签发的原因。同时,CA行业规定的更改、硬件问题,以及行规与法律的冲突等一系列因素都有可能导致SSL证书被错误签发。
同时该报告还点名指出了最容易出错的CA机构,其中甚至不乏国际顶级的数字证书厂商,可见即是是信息安全领域的佼佼者,也无法避免因自身疏忽导致的错误签发。
