CA安全會提出倫敦協議旨在減小「安全」的釣魚網站

時間 2019-11-11

原文原文鏈接

證書頒發機構們搞了個倫敦協議試圖改進OV和EV證書，但瀏覽器廠商會支持嗎？

倫敦協議是SSL行業如此獨特的一個很好的例子。不多有行業中的五家頂級公司彙集在一塊兒，試圖解決他們銷售的產品的問題。但在近日，Comodo，Entrust，GlobalSign，GoDaddy和Trustwave經過CA安全委員會聯合起來支持倫敦協議 - 一項改進身份證書（OV和EV SSL）的正式計劃。（是的，就是以前DigiCert由於不支持而乾脆退出CA論壇的計劃）。在7月初的證書頒發機構/瀏覽器論壇（CAB論壇）的倫敦面對面會議上，該倡議被正式提出並得名：倫敦協議。算法

做爲Entrust的戰略副總裁，Chris Bailey寫道：數據庫

咱們行動的起源源於HashedOut的一份報告，指出「2016年1月1日至2017年3月6日期間，Let's Encrypt證書頒發機構共發佈了包含」PayPal「字樣的15,270個SSL證書。」這些Let的加密證書是發佈給在其域名中使用「PayPal」名稱欺騙在線用戶發送其我的數據的壞人，換句話說，就是犯下身份盜用罪。 Let's Encrypt頒發的證書僅爲域驗證證書，這意味着它們能夠發佈到匿名網站，由於發佈是100％自動化的。api

倫敦協議因何而生？

山寨PayPal帶着安全標記橫行網絡的事件僅是冰山一角，更多的釣魚網站披着羊皮玩得風生水起。現在，不斷存在的擴展驗證SSL證書受到了威脅。部分緣由是因爲在過去一年間發生的一系列事件，安全研究人員成功建立空殼公司、引導混亂並建了個和另外一公司衝突的EV名。瀏覽器

在一個例子中，Ian Carroll在肯塔基州建立了一家名爲Stripe的公司，而後收到了一份與Stripe支付公司沒法區分的擴展驗證證書。在另外一個例子中，James Burton建立了一家名爲「Identity Verified」的公司，並得到了可能誤導用戶的EV證書。兩種證書都沒有形成實際損害，若是兩個例子都顯示了網絡釣魚者得到EV證書所需的長度，基於平均每一個網絡釣魚站點被擱置大約15個小時。安全

Burton隨後在Mozilla.Dev安全論壇上指出：網絡

給EV的時間已經很少了，棄用EV是目前最呵護邏輯的可行解決方案。它將帶領咱們向前邁進，消除過去破舊的Web安全框架。既然我和Ian都已經證實了EV的基本問題及其在UI中的顯示方式，真正的網絡釣魚使用EV危害網絡將只是時間問題。框架

儘管Burton的說法有些浮誇，但貶低EV的言論和作法早已在行業中風行。谷歌已經不會在Chrome手機上顯示EV，而且已經嘗試在Chrome桌面中刪除EV的獨特指示器 - 一般被稱爲綠色地址欄 - 而且目前有一個標誌能夠移除全部EV效果。 Apple可能會在其移動和桌面瀏覽器Safari的將來版本中作相似的事情。網站

但同時，釣魚網站的威脅也沒他說得那麼誇張。至少從最近一個月的數據顯示，只有0.05%的HTTPS網絡釣魚網站使用了EV證書。這代表EV釣魚網站的言論被誇大了。加密

什麼是倫敦協議？

「倫敦協議」是CA提出的對組織驗證和擴展驗證SSL證書進行改進的提案。它要求籤署的CA之間進行史無前例的協做，由於它們共享數據並努力使OV和EV更安全。spa

它的目標是：

...改進身份保證並最大限度地下降由OV（組織驗證）和EV（擴展驗證）證書（統稱爲「身份網站」）加密的網站上的網絡釣魚活動的可能性。「倫敦議定書」增強了身份網站之間的區別，使得用戶比使用DV（域驗證）證書加密的網站更加安全。而後，其餘人能夠利用該安全功能來實現其自身的安全目的，包括告知用戶他們正在訪問的網站類型以及反安全算法中的反釣魚引擎和瀏覽器過濾器。

已簽署的CA已贊成採起如下步驟：