最近的一项学术研究发现,软件错误和对行业标准的误解是大多数错误签发SSL证书的最主要原因,其所占比例高达所有错误事件的42%。
这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,他们研究了379起SSL证书签发错误的实例,并总共发现了1300多个事件。
研究人员从公共资源收集了事件数据,例如Mozilla的Bugzilla跟踪器与Firefox和Chrome浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及SSL证书签发错误背后的最常见原因。
研究小组得出了一个结论,即“大多数错误签发SSL证书的事件都是由软件错误引起的”。
在他们分析的379个案例中,有91个(占24%)是由CA的一个软件平台中的软件错误引起的,导致客户收到不兼容的SSL证书。
第二个最常见的原因是CA误解了CA/B论坛规则,或者CA不知道规则已更改,有69起案件是这种情况,占所有SSL证书签发错误事件的18%。
而恶意根CA导致的问题数据占比排在第三位,有 52个SSL证书签发错误案例(占所有分析事件的14%)是CA故意作恶,为了利润而破坏了行业规则,比如他们会给中间人攻击者出售证书。
第四大最常见的原因是人为错误,有37例(占总数的10%)。
第五位是操作错误,其中错误是由于CA的内部程序错误,而不是软件或人为错误,这占了 29例,占所有案例的8%。
第六个根本原因是“非最佳请求检查(non-optimum request check)”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了SSL证书合法的公司。研究人员发现了24个此类事件,占所有SSL签发错误事件的6%。
SSL证书签发错误的第七个最常见的根本原因是“不正确的安全控制”,这是一个通用类别,其中包括所有CA被黑或失去对其基础结构的控制以允许第三方获得SSL证书的情况。
详情可以查看该研究报告:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3425554
