信息化觀察網(wǎng)

要想實(shí)現(xiàn)網(wǎng)站安全，首先要確認(rèn)網(wǎng)站所有者的身份，來防止網(wǎng)絡(luò)釣魚攻擊。如果不進(jìn)行這一步，那么網(wǎng)站用戶則會處于劣勢，身份欺詐者會將域名驗(yàn)證釣魚網(wǎng)站偽裝成高價(jià)值的網(wǎng)站，從而竊取用戶密碼和信用卡密碼。

London Protocol（倫敦網(wǎng)絡(luò)協(xié)議）的目的是為了提高網(wǎng)站身份的安全性，并使網(wǎng)絡(luò)釣魚行為發(fā)生的可能性降到最低。這一協(xié)議取決于多個(gè)來源提供的數(shù)據(jù)，這表明匿名域驗(yàn)證SSL/TLS證書是近期釣魚攻擊事件多發(fā)的主要原因，我們也會共同致力于保護(hù)互聯(lián)網(wǎng)安全，從而保護(hù)使用這些互聯(lián)網(wǎng)協(xié)議的企業(yè)和用戶。

London Protocol的主要關(guān)注點(diǎn)在于提高網(wǎng)站身份的安全性，以及使通過OV和EV證書加密的網(wǎng)站發(fā)生網(wǎng)絡(luò)釣魚攻擊的可能性降到最低。這一證書包含經(jīng)過驗(yàn)證的企業(yè)身份信息，從而能夠告知用戶這些網(wǎng)站是否安全。最終將其命名為London Protocol的原因是筆者的團(tuán)隊(duì)在上個(gè)月于倫敦召開的CASC/B論壇會議上正式宣布通過了這項(xiàng)協(xié)議。

我們采取這一措施的原因是一份來自HashedOut的報(bào)告，報(bào)告中寫道：在2016年1月1日至2017年5月6日期間，一家名為Let's Encrypt的證書頒發(fā)機(jī)構(gòu)總共頒布了15270個(gè)SSL證書，這些證書中都包含關(guān)鍵詞“PayPal”。Let's Encrypt頒發(fā)的這些證書被一些不法分子利用，他們會在網(wǎng)站域名中使用“PayPal”關(guān)鍵詞，來誘導(dǎo)網(wǎng)絡(luò)用戶將個(gè)人數(shù)據(jù)發(fā)送給他們，換句話說，這些不法分子會使用這些證書來進(jìn)行身份信息盜竊。Let's Encrypt頒發(fā)的這些證書僅僅是域驗(yàn)證證書（domain-validated certificates），這意味著這些證書會發(fā)送給一些匿名的網(wǎng)站，因?yàn)檫@一頒發(fā)過程是完全自動化的。

身份證書簡史

在2001年，只有OV身份證書可用于保護(hù)網(wǎng)站安全。對于大多數(shù)的CA數(shù)字證書來說，想要獲取OV證書需要一系列的復(fù)雜過程，而且需要一段時(shí)間才能完成。當(dāng)時(shí)，企業(yè)需要不同的證書類型，來快速地為不太敏感的網(wǎng)站獲得加密通信的證書，這也是為什么筆者當(dāng)時(shí)會成為DV（域驗(yàn)證）證書的一名研發(fā)人員。其目的是創(chuàng)建一個(gè)可以快速驗(yàn)證的數(shù)字證書，其中網(wǎng)站所有權(quán)證明（如博客和信息頁面）對于用戶的安全性來說并不重要。筆者認(rèn)為將DV證書的驗(yàn)證步驟限制為域擁有權(quán)證明（proof of domain ownership）就足夠了，因?yàn)樗軌蜃柚咕W(wǎng)絡(luò)詐騙犯從不屬于他們的域中獲取證書。

不幸的是，DV證書現(xiàn)在被用于不法用途，導(dǎo)致一些使用DV證書加密的虛假網(wǎng)站受到了大量的網(wǎng)絡(luò)釣魚攻擊。對網(wǎng)站加密能夠確保向網(wǎng)站擁有人傳輸敏感數(shù)據(jù)的過程是安全的。但是，由于缺乏經(jīng)過確認(rèn)的企業(yè)組織身份信息，意味著這些數(shù)據(jù)也能夠被安全地傳輸?shù)狡髨D盜竊用戶信息的不法分子手中。

為了讓網(wǎng)站更加安全，筆者隨后又加入了EV（擴(kuò)展驗(yàn)證）證書的聯(lián)合研發(fā)團(tuán)隊(duì)。在按照CA數(shù)字證書的標(biāo)準(zhǔn)化指南對這一證書進(jìn)行完整、嚴(yán)格的審查措施之后，才頒發(fā)了EV證書。由CA/B論壇開發(fā)出來的EV證書會顯示在瀏覽器的地址欄，來確認(rèn)網(wǎng)站的身份，告知用戶網(wǎng)站的擁有人，并且也會追蹤任何潛在的惡意行為。

筆者的團(tuán)隊(duì)同世界上最大的DV證書頒發(fā)機(jī)構(gòu)ComodoCA一同驗(yàn)證了他們的假設(shè)，即用戶在使用OV和EV加密的網(wǎng)站時(shí)更加安全。筆者的研究論文“The Relative Incidence of Phishing among DV, OV and EV Encrypted Websites”（《DV、OV和EV加密網(wǎng)站釣魚攻擊的相對發(fā)生率》）表明，99.5%包含釣魚內(nèi)容的加密網(wǎng)站使用了DV證書，但是在OV和EV加密的網(wǎng)站中，卻沒有發(fā)生這一情況。這一數(shù)據(jù)也證實(shí)了我們的假設(shè)：對于用戶來說，OV和EV證書要比DV證書更加安全。

雖然現(xiàn)在的OV和EV加密的網(wǎng)站都很安全，但是我們想讓這一網(wǎng)站更加安全，因此也就頒布了London Protocol。在此協(xié)議之下，CA安全理事會中的5個(gè)CA數(shù)字證書頒發(fā)機(jī)構(gòu)正開展合作，來提高網(wǎng)站身份安全性，使網(wǎng)站發(fā)生釣魚攻擊的可能性降到最低。CA安全理事會中的每家機(jī)構(gòu)都會和他們的OV和EV客戶合作，來幫助他們移除網(wǎng)站上的釣魚內(nèi)容，讓網(wǎng)站更加安全。這一努力也會幫助應(yīng)對各個(gè)主要品牌中增長的DV網(wǎng)絡(luò)釣魚攻擊事件，并且在用戶使用OV和EV證書加密的網(wǎng)站時(shí)，會有更高的安全感。

原文作者：Chris Bailey