CA安全会提出伦敦协议旨在减少“安全”的钓鱼网站

news/2024/5/20 21:07:29/文章来源:https://blog.csdn.net/weixin_33882443/article/details/92389966

2019独角兽企业重金招聘Python工程师标准>>>

证书颁发机构们搞了个伦敦协议试图改进OV和EV证书，但浏览器厂商会支持吗？

伦敦协议是SSL行业如此独特的一个很好的例子。很少有行业中的五家顶级公司聚集在一起，试图解决他们销售的产品的问题。但在近日，Comodo，Entrust，GlobalSign，GoDaddy和Trustwave通过CA安全委员会联合起来支持伦敦协议 - 一项改进身份证书（OV和EV SSL）的正式计划。（是的，就是之前DigiCert因为不支持而干脆退出CA论坛的计划）。在7月初的证书颁发机构/浏览器论坛（CAB论坛）的伦敦面对面会议上，该倡议被正式提出并得名：伦敦协议。

作为Entrust的战略副总裁，Chris Bailey写道：

我们行动的起源源于HashedOut的一份报告，指出“2016年1月1日至2017年3月6日期间，Let's Encrypt证书颁发机构共发布了包含”PayPal“字样的15,270个SSL证书。”这些Let的加密证书是发布给在其域名中使用“PayPal”名称欺骗在线用户发送其个人数据的坏人，换句话说，就是犯下身份盗用罪。 Let's Encrypt颁发的证书仅为域验证证书，这意味着它们可以发布到匿名网站，因为发布是100％自动化的。

伦敦协议因何而生？

山寨PayPal带着安全标记横行网络的事件仅是冰山一角，更多的钓鱼网站披着羊皮玩得风生水起。如今，不断存在的扩展验证SSL证书受到了威胁。部分原因是由于在过去一年间发生的一系列事件，安全研究人员成功创建空壳公司、引导混乱并建了个和另一公司冲突的EV名。

在一个例子中，Ian Carroll在肯塔基州创建了一家名为Stripe的公司，然后收到了一份与Stripe支付公司无法区分的扩展验证证书。在另一个例子中，James Burton创建了一家名为“Identity Verified”的公司，并获得了可能误导用户的EV证书。两种证书都没有造成实际损害，如果两个例子都显示了网络钓鱼者获得EV证书所需的长度，基于平均每个网络钓鱼站点被搁置大约15个小时。

Burton随后在Mozilla.Dev安全论坛上指出：

给EV的时间已经不多了，弃用EV是目前最呵护逻辑的可行解决方案。它将带领我们向前迈进，消除过去破旧的Web安全框架。既然我和Ian都已经证明了EV的基本问题及其在UI中的显示方式，真正的网络钓鱼使用EV危害网络将只是时间问题。

尽管Burton的说法有些浮夸，但贬低EV的言论和做法早已在行业中风行。谷歌已经不会在Chrome手机上显示EV，并且已经尝试在Chrome桌面中删除EV的独特指示器 - 通常被称为绿色地址栏 - 并且目前有一个标志可以移除所有EV效果。 Apple可能会在其移动和桌面浏览器Safari的未来版本中做类似的事情。

但同时，钓鱼网站的威胁也没他说得那么夸张。至少从最近一个月的数据显示，只有0.05%的HTTPS网络钓鱼网站使用了EV证书。这表明EV钓鱼网站的言论被夸大了。

什么是伦敦协议？

“伦敦协议”是CA提出的对组织验证和扩展验证SSL证书进行改进的提案。它要求签署的CA之间进行前所未有的协作，因为它们共享数据并努力使OV和EV更安全。

它的目标是：

...改进身份保证并最大限度地降低由OV（组织验证）和EV（扩展验证）证书（统称为“身份网站”）加密的网站上的网络钓鱼活动的可能性。 “伦敦议定书”加强了身份网站之间的区别，使得用户比使用DV（域验证）证书加密的网站更加安全。然后，其他人可以利用该安全功能来实现其自身的安全目的，包括告知用户他们正在访问的网站类型以及反安全算法中的反钓鱼引擎和浏览器过滤器。

已签署的CA已同意采取以下步骤：