“多人”保证方法降低了证书错误发行给欺诈者的风险
让我们加密已开始推出新的多人域验证系统,以应对边境网关协议(BGP)劫持提出的新生挑战。
上周,免费SSL/TLS证书的提供商非营利证书局(CA),在博客文章中说新服务将域验证从一个可验证的实例切换到多个角度。
域验证用于在申请人请求证书时为申请人提供保证,并根据申请人控制已要求证书的域的证据建立信任程度。
没有大量验证检查,包括申请人是否能够将文件放置在特定域路径中,欺诈者可能能够获得他们不拥有的域名证书,以便将其用于恶意目的。
但是,域验证过程本身很容易受到影响中间人(MITM)攻击,在这种攻击中,网络攻击者可以秘密地捕获,改变和继电器在CA和客户之间进行通信,他们错误地认为他们正在通过安全的链接进行通信。
这可能会导致CA向欺诈者颁发安全证书。
什么是BGP?
Border Gateway协议是一种标准化的网络技术,用于交换运营商和ISP之间的首选路由路径信息。
多年来,该技术的不安全感一直是一个问题,通常是由于路线泄漏或设备构造错误的问题而出现的问题。
人们怀疑,尽管尚不清楚这种可疑的虐待程度,但民族国家滥用了BGP固有的不安全感,以重新淘汰和窥探互联网流量。
交通劫持攻击
普林斯顿大学学者亨利·比尔格·李(Henry Birge-Lee),Yixin Sun,Anne Edmundson,Jennifer Rexford和Prateek Mittal进行的研究证明了如何使用边境网关协议(BGP)中的脆弱性来进行交通劫持攻击(pdf),威胁让我们加密要抵消。
非营利组织说:“今天的攻击很少见,但我们担心这些攻击将来会变得越来越多。”“我们不想等到我们能够依靠BGP安全。”
By now validating from multiple perspectives as well as Let’s Encrypt data centers, the CA authority says that BGP hijacking is made more difficult as attackers must compromise three different network paths at the same time – not only the data center channel, but also at least two out of three different traffic paths.
让我们加密从多个角度进行验证,以使BGP更难实现BGP
让我们加密目前服务超过1.9亿网站beplay体育能用吗,其中大多数将立即从新系统中受益。该组织认为这是第一个按大规模实施多人验证的CA。
该方法旨在降低攻击风险,该攻击在域中验证的证书发行过程中重定向网络流量。
讲话每日swbeplay2018官网ig,Let's Encrypt发言人说,Amazon Web Services(AWS)beplay体育能用吗目前正在用于所有三个其他观点,但该公司计划将其中一个视角移至Google Cloud,另一个观点将其移至Microsoft Azure。
发言人补充beplay体育能用吗说:“所有网站都通过域验证流程以获取证书。”
“大多数将立即开始使用新的多人验证系统。其余的将在6月开始,因为我们的一些订户需要更多时间来进行过渡。”
让我们加密将继续与普林斯顿大学合作以完善技术。
Princeton Professor Prateek Mittal told us that the system’s deployment is a “significant and critical milestone for security” and the main area for future improvement will be the expansion of Let’s Encrypt deployment to include more diverse and numerous perspectives, further mitigating the risk of successful BGP attacks.
