? ? ? ?隨著免費和自動化的SSL證書被不斷普及，釣魚網站使用SSL證書的數量激增。這一事實一度成為業(yè)內最熱門的爭論話題之一，反對聲連綿不斷。

? ? ? ?明年起，Let's Encrypt將開始支持通配符證書。這將在關于網絡釣魚的爭論中產生一個新的角度，因為通配符證書的獨特能力掩蓋了它們的預期用途：犯罪分子和釣魚者很可能將會使用通配符證書來加強他們隱藏主機名的能力，使這種能力更加通用。通配符證書甚至可以取代單域證書作為首選工具。

通配符證書×釣魚者

? ? ? ?使用傳統(tǒng)的SSL證書，完整的主機名被列在證書中?？蛻舳藱z查這些主機名，以確保在訪問這些站點時只使用該證書——如果使用其他主機名，則將其視為無效。

對于單域證書，只能包含一個主機名，例如：“www.example.com”。多域證書可以允許多達數百個主機名。每一個都被獨立地列出，例如——www.example.com、mail.example.com、cpanel.example.com等。

通配符證書的工作原理不同。使用通配符證書，域名中最左邊的標簽將被一個星號替換。這是字面意義上的“通配符”字符，它告訴客戶端證書對于該標簽的每個可能的名稱都是有效的。對于通配符證書，證書中包含的主機名將是“*.example.com”，對于我們在上一個示例中列出的所有名稱，它都是有效的。

如果你想要通過單域或多域證書來對Paypal、蘋果公司或巴克萊銀行進行釣魚，那么你會得到這樣的證書：

paypal.secure-account.comApple-id.support-com.online

bankofamerica.verify-account.com

而如果你想要通過通配符證書為那些同樣這些公司創(chuàng)建釣魚網站的話，那么域名看起來是這樣的：

*.support-com.com

當客戶端接收到該證書時，它會將其視為“paypal.support-com”或“apple id.support-com.com”或任何其他字母和數字的組合。根據你的根域的通用程度，你可以使用這樣一個證書來進行所有的釣魚詐騙。

? ? ? 這一屬性使得通配符證書可以將我們稱之為“釣魚位”的東西，這是域名中最容易識別出釣魚目標的部分。

對通配符是有所約束的，它們可以使用的場景受到一定的限制。只能有一個“*”號，而且該符號必須處于最左邊。因此，“www.*.secure.com”是不允許的。它也不能在TLD之后直接使用。所以“*.com”也是不允許的。

這也就意味著“釣魚位”也必須處于最左的位置。下面的主機名與真實世界的釣魚網站相似，但它們無法利用通配符證書進行釣魚：

paypal-com-update.netwww.paypal-limited.us.helpsecured.cf

? ? ? ?自從通配符證書被發(fā)明以來，使用這種證書來隱藏一個釣魚網站已經成為可能。你可以從任何證書頒發(fā)機構購買一個通配符證書，而且它們幾乎沒有任何方法可以阻止你使用它來實現(xiàn)任何你想要的目的。他們通常用來阻止向一個釣魚網站頒發(fā)證書的方法需要知道主機名。

? ? ? ?多年來，網絡釣魚者一直在使用通配符證書。然而，由于網絡釣魚證書花費的成本通常是單域證書的5倍以上，對于大多數網絡釣魚來說，它們在經濟上是不可行的。絕大多數使用SSL證書的釣魚網站使用的都是單域證書，因為它們是廉價或免費的。

禍從何起

SSL世界中另一個最新的發(fā)展是證書透明機制，或稱為CT。

? ? ? ?CT是一個在集中的列表中公開記錄(“日志”)SSL證書的系統(tǒng)。它允許對證書頒發(fā)機構進行監(jiān)督，并檢測不適當頒發(fā)或未經授權的證書。通過監(jiān)視這些日志，我們可以獲得證書頒發(fā)機構正在頒發(fā)的證書的實時更新情況，這些日志可以用于發(fā)現(xiàn)各種問題，包括證書頒發(fā)機構受到的威脅——比如2011年DigiNotar發(fā)生的事情。

? ? ? ?這些日志的另一個好處是，它們可以被用作發(fā)現(xiàn)新的釣魚網站的檢測系統(tǒng)。通過定期查詢可能用于釣魚的術語，比如“paypal”，你可以快速找到新的釣魚網站的主機名，并屏蔽或標記它們。

? ? ? ?日志可以在證書發(fā)布后30分鐘內更新，這使它成為發(fā)現(xiàn)潛在惡意站點的主機名的最快方法之一。我們知道至少有那么幾個機構使用日志來達到這個目的。

? ? ? 通過將日志作為釣魚檢測系統(tǒng)，想要使用SSL證書來讓他們的網站看起來更合法的網絡釣魚者實際上更容易被抓獲。

但是，只有當整個主機名被包含在證書中時，該方法才能起作用，而通配符證書則不是這樣。對于通配符證書，我們將只能看到“*.online-account.us”，而無法通過搜索日志看到“paypal.online-account.us”。

? ? ? 如果大多數的釣魚站點開始使用通配符證書而不是單域或多域證書，那么CT日志將成為一種無效的檢測系統(tǒng)。

? ? ? 除了主動使用日志作為一個網絡釣魚檢測系統(tǒng)外，搜索這些證書的能力對研究也很有用。今年早些時候，我們使用SSL證書對“paypal”釣魚網站的數量進行了量化——如果通配符證書被網絡釣魚者廣泛使用的話，這樣做將會變得更加困難。

利大于弊

盡管通配符證書讓網絡釣魚者的生活變得更輕松，而使研究人員的工作更加困難了，但它們仍然起到了重要的作用。

有一些用例，單域或多域證書不容易適用。例如，如果你想為每個注冊你的服務的用戶分配一個唯一的子域：如cpanel-01.example.com，cpanel-02.example等。必須不斷地為這些主機名頒發(fā)新的證書，這對于許多站點來說，是無法實現(xiàn)的工程學挑戰(zhàn)。有時，軟件對它能提供多少證書有限制，如果用戶被多域證書所困擾，而不得不將所有的主機名全部列出，那么這可能會產生一個限制。

? ? ? ?當所有證書頒發(fā)機構(在2018年中期)都強制要求證書透明系統(tǒng)時，一些用戶將希望使用通配符“隱藏”子域，因為他們擔心將自己的主機名公開列出將產生一個漏洞，或者使他們本來希望不被了解的服務被識別出來。

? ? ? ?研究人員Hanno Bock通過搜索CT記錄來發(fā)現(xiàn)和入侵未經認證的web應用程序，證實了這一屬性。雖然依賴“黑箱”安全模型來隱藏你的域并不是解決這個問題的正確方法，但它確實展示了另一個使用通配符的示例。

? ? ? ?因此，“殺死”通配符證書并不是一個實際的解決方案。相反，我們只是需要意識到并適應這種新的行為，我相信，在Let’s Encrypt明年年初開始提供免費通配符證書之后，這種新行為將變得很普遍。對于需要免費證書的網站和用戶來說，這將是一個巨大的利好——大大超過由此帶來的網絡釣魚對他們的損害。

文章轉載至：https://www.kingnettech.com/news/hyxw/75.html

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯(lián)系，并提供相關證據，工作人員會在5工作日內聯(lián)系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.junxiaosheng.cn/20369.html