自動化數位憑證認證機構Let's Encrypt表示,由於太多共享託管以及基礎設施服務違反TLS-SNI驗證背後的假設,即日起停止透過TLS-SNI驗證取得認證,並對已存在使用者執行更新驗證程序,Let's Encrypt鼓勵使用者,盡量更換成HTTP或是DNS驗證。
網頁應用程式安全自動掃描服務Detectify安全研究員Frans Rosén,1月9日向Let's Encrypt回報TLS-SNI-01驗證的使用風險,同時被視為其繼任機制的TLS-SNI-02驗證也具有同樣問題,Let's Encrypt也隨即停用TLS-SNI驗證。
TLS-SNI是Let's Encrypt 3個自動化認證管理環境(Automatic Certificate Management Environment,ACME)請求TLS 認證協定的方法之一。而Frans Rosén發現,TLS-SNI-01以及TLS-SNI-02在特定的情況下,容許駭客取得他人的網站HTTPS認證。
駭客可以找到指向託管服務的孤立網域名稱,為該域名添加未授權的認證,讓假頁面看起來以假亂真。例如一間擁有fakecert.com網域的公司,將其位置指向一個位置非fakecert.com的雲端服務,而駭客就有機會在該雲端服務啟用一個全新的帳號,並用新帳號為fakecert.com添加HTTPS伺服器,再使用Let's Encrypt的TLS-SNI-01驗證服務認證HTTPS,讓假網站看起來跟真的一樣。
而這個風險發生的原因並非是TLS-SNI驗證程式上的漏洞,而是流程控制問題。不少託管服務不驗證網域的所有權,尤其是託管服務提供多個使用者共用同一IP時,更可能讓有心人士利用Let's Encrypt,並透過TLS-SNI-01驗證機制取得他人的網站認證,無論是AWS的CloudFront或是Heroku都存在這樣的風險。
Frans Rosén建議3個方法減少相關的風險,首先便是停用TLS-SNI-01,再來是設置.acme.invalid入黑名單,最後為使用其他取得驗證的方法。Let's Encrypt目前也停止透過TLS-SNI-01機制發放認證,要求使用者轉而使用HTTP-01或是DNS-01。
Let's Encrypt是數位認證機構,宗旨是以自動化流程代替手動建立和安裝憑證的複雜流程,主要贊助商有電子前哨基金會、Mozilla基金會、Akamai以及思科。
精選專案.網頁設計.RWD響應式網站.行動版網站.企業形象網站 / 醫療衛生類
網站技術:PHP . Javascript
提供專業輔具工具來幫助行動不便的民眾,協助他們提高自主生活同時減輕照護者負擔。 針對經常會搬運工作的用戶也有推出搬運使用的輔助裝,減少搬運人員腰部的負擔。 有需要的民眾可以在網站上申請體驗喔!!
活動網站 / 其他類
網站技術:PHP
響應式(RWD)網頁設計,設計UI/UX使用者體驗,可於各種裝置進行網頁瀏覽(PC、平板、手機)。
網頁設計.RWD響應式網站 / 教育人文類
發展和推動大學商學院教職員的培訓,從大學商學院的研究及其他協會保持密切聯繫到學術和教育學院。AACSB提供出版品和報告以提升商學院的教育水準。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策