不合格域名会导致中间人攻击吗?

日期: 2013-10-08 作者:Michael Cobb翻译:刘淡宁 来源:TechTarget中国 英文

ICANN(互联网名称与数字地址分配机构)发布了一个安全公告,强调SSL(加密套接字协议层)证书对于不合格扩展的内部域名的重要性。什么是一个不合格扩展的域名呢?它会带来哪些风险?为什么ICANN认为SSL证书可以防御这个风险呢?

DNS(域名系统)是用于命名连接到Internet的计算机、服务器和任意其它资源的系统。比如www.mycompany.com这个主机名是由三个DNS标签组成的:“www”是本地主机名,“mycompany”是二级域名,“.com”是顶级域名。当一个主机名的所有标签都是明确指定,并且至少有一个公共路由的IP地址与其相关联时,这个主机名就是完全合格的域名。主机名“www.mycompany.com”可以通过本地主机文件或一个DNS解析程序翻译成一个IP地址。

组织通常会用一些不合格的域名,如“邮件”、“维基”、“交换”等词,在他们的本地网络上来识别机器,这样用户通过输入组织内部资源的简短名称就可以搜索到该组织。这些人类可识别的本地主机名相对于IP地址来说也更容易记忆和识别。如果这些主机没有一个公网IP地址,他们就被视为没有合格的域名。

电子前沿基金会(EFF)发现,CA(证书授权中心)为数以千计的用于在本地企业网络中识别机器的常见不合格域名签发了合法证书。这样就造成了一个安全问题,因为公开可信的CA颁发的数字证书是意味着该主机名可以唯一识别整个因特网中的一个资源,而这些不合格的域名不是唯一的,任何人都可能获得一个认证https://mail或https://wiki的证书。

如果一个攻击者获得了不合格域名“邮件”的证书,那么这个证书就可以在浏览器或者操作系统信任存储中链接到一个CA中心,攻击者可以将这个证书使用在对一个叫“邮件”的内部网络中的任意邮件服务器的中间人攻击中,这个证书就是一个完美的身份伪造。攻击者和服务器的连接看起来是很正常的,而且证书检查会显示攻击者的证书是由一个公开可信的CA或者私人企业范围的CA所发行。

由于各种CA中心同样为内部域名签发了一些不合格的扩展名,这个问题就变得更糟糕了。例如,“.corp”的域名扩展已经用于很多私人企业网络内部,但是“.corp”这个扩展名目前正被考虑未来作为一个gTLD(通用顶级域名)。如果新的gTLD开始运作,那么之前为“.corp”所颁发的证书还有其它新的gTLD就可以从真正的域名重定向到一个用户。

为了解决这个问题,CA/B论坛,一个证书授权中心和Web浏览器生产商组织,要求他们的CA成员不再向2015年11月1日之前到期的内部服务器名字颁发类似新的证书。2016年10月1号,所有CA中心预期将撤销剩下的仍在有效期的所有这类内部服务器域名证书,永久停用此类证书。但是直到2016年10月,新的gTLD仍存在潜在漏洞。

企业管理员可以通过不使用不合格证书访问内部资源来打击中间人攻击带来的风险。例如,一个邮件服务器只能通过完全合格域名https://mail. mycompany.com/来访问,而不能通过https://mail/.来访问。企业发行证书应该使用它们自己私人的CA中心,如微软证书服务器,不应该为不合格域名和私人的,不可路由的IP地址签发证书,并应该撤销现有的这类不合格证书。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 美CIA CherryBlossom项目暴露路由器安全问题

    维基解密最新发布的CIA黑客工具中包含了CherryBlossom项目,该项目凸显了路由器的安全问题,包括缺乏固件签名方面的验证等。

  • 中间人攻击:你的信用卡数据是这样暴露的……

    NCR Corp研究人员展示了针对PoS终端和PIN输入设备的被动中间人攻击是如何绕过信用卡芯片和密码保护、而导致信用卡数据可在其他地方被使用以及修改的。

  • 生死狙击:阻止恶意SSL通信六要点

    SSL的使用每年都在稳定增长。将来会有越来越多的互联网通信都会被加密。不幸的是,不仅注重安全的公司和用户在利用加密,黑客们也在使用加密来隐藏其恶意企图。虽然有很多防火墙和威胁预防方案能够解密SSL通信,却不能跟上不断演变的解密需求……

  • 七步解决关键SSL安全问题及漏洞

    近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。那么如何解决关键SSL安全问题及漏洞呢?总共分七步……