大多数 SSL 证书签发错误的主要原因是软件错误
最近的一项学术研究发现,软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因,其所占比例高达所有错误事件的 42%。
这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,他们研究了 379 起 SSL 证书签发错误的实例,并总共发现了 1300 多个事件。
研究人员从公共资源收集了事件数据,例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及 SSL 证书签发错误背后的最常见原因。
研究小组得出了一个结论,即“大多数错误签发 SSL 证书的事件都是由软件错误引起的”。
在他们分析的 379 个案例中,有 91 个(占 24%)是由 CA 的一个软件平台中的软件错误引起的,导致客户收到不兼容的 SSL 证书。
第二个最常见的原因是 CA 误解了 CA/B 论坛规则,或者 CA 不知道规则已更改,有 69 起案件是这种情况,占所有 SSL 证书签发错误事件的 18%。
而恶意根 CA 导致的问题数据占比排在第三位,有 52 个 SSL 证书签发错误案例(占所有分析事件的 14%)是 CA 故意作恶,为了利润而破坏了行业规则,比如他们会给中间人攻击者出售证书。
第四大最常见的原因是人为错误,有 37 例(占总数的 10%)。
第五位是操作错误,其中错误是由于 CA 的内部程序错误,而不是软件或人为错误,这占了 29 例,占所有案例的 8%。
第六个根本原因是“非最佳请求检查(non-optimum request check)”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了 SSL 证书合法的公司。研究人员发现了 24 个此类事件,占所有 SSL 签发错误事件的 6%。
SSL 证书签发错误的第七个最常见的根本原因是“不正确的安全控制”,这是一个通用类别,其中包括所有 CA 被黑或失去对其基础结构的控制以允许第三方获得 SSL 证书的情况。
详情可以查看该研究报告:
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
OSChina 周一乱弹 —— 人生,还真是到处是意外
Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @这次装个文艺青年吧:#今日歌曲推荐#分享lil peep的单曲《High School》 《High School》- lil peep 手机党少年们想听歌,请使劲儿戳(这里) @东方_小败败:请问怎么以最快的速度从现在公司正常离职? 简单, “在老板房间里放了一个屁后关上门。” 你可以摸鱼啊, 上班摸鱼, 被老板发现了能离职 @普京大帝:今天你摸鱼了么 摸了呀! @大武233:我又摸鱼了两小时 可是却丝毫紧张不起来 感觉需要有人拿鞭子抽我 太懒散了 你再坚持摸鱼就要达成梦想, 被开除了。 @西夏一品堂:非常励志 看完被晃了吧, 人生其实处处都是意外, 哪怕你身上只剩下了火柴, 你还能给别人带来温暖, @开源中国首席屌炸天: 半分钟带你看完卖火柴的小女孩的故事 这点要学习外国人, 哪怕他们都是老年人了, 还是精力充沛, @CielSwift:美国人是如何做到70岁80岁任然精力充沛的 怎么做到的? 这事到你头上你也行, “老伊万诺夫和他的白仓鼠玩起了捉迷藏。” 【小树的世界之旅] 参与#乱弹大吐槽#的快捷方式 0、【众泰汽车欠...
- 下一篇
微软推出的新键盘带 Office 和表情包专用键
根据 The Verge报道,微软将于本月推出的最新键盘包含 Office 专用键和表情包专用键。 此前我们曾报道过“微软计划推出 Office 专用键”,该公司在上周的 Surface 硬件发布会上亮相了这类新键盘,一款新的符合人体工程学的蓝牙键盘,其中包括专用键。Office 键取代了键盘右边的 Windows 键,用于启动Windows 10 Office 应用程序,使用 Office 键作为启动 Word、Excel和 PowerPoint 等应用程序的快捷方式。例如,Office键 + W可以打开 Word,而 Office键+X可以打开 Excel。 除了 Office 键,这个新键盘上还有一个新的表情包键。该专用键可以在 Windows 10 中启用表情选择器,但是用户将无法通过该键指定特定的表情符号,也没有与之相关的快捷方式。微软新键盘上设计的两个专用键,是微软为Office、表情符号使用日益增多的企业而设计的。 目前来看,微软推出的 Office和表情包专用键,其他第三方键盘是否会引用它们还不清楚。大多数带有专用 Windows键的键盘,微软已经为它制定了授权协议,以...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- Mario游戏-低调大师作品
- CentOS关闭SELinux安全模块
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Red5直播服务器,属于Java语言的直播服务器
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池