这两天这一项互联网服务平台学术持续研究发现自己,相关软件错误和对行互联网服务平台业发展标准中的误解是再就 数错误签发SSL证书的最再就 使得,其所占比例高达其他错误事件的42%。
这项持续研究是由印第安纳持续研究生布卢明顿分校各类信息与计算学院的这一个技术团队撰写的,她们持续研究了379起SSL证书签发错误的实例,并总共发现自己了1300多个事件。
持续研究人员从公共资源收集了事件数据数据,同时Mozilla的Bugzilla跟踪器与Firefox和Chrome浏览器安全技术团队的网上发布论坛讨论区。该持续研究的目这一持续研究证书颁发机构(CA)怎样才能 才能 遵守行业发展标准中,同时SSL证书签发错误背后的最常见使得。
持续研究小组得还出这一个结论,即“再就 数错误签发SSL证书做的事件都在由相关软件错误会引起的”。
在她们分析及的379个案例中,有91个(占24%)是由CA的这一个相关软件平台发展当中相关软件错误会引起的,使得新客户收到不兼容的SSL证书。
第二个最常见的使得是CA误解了CA/B论坛规则,之类之类CA不可是规则已更改,有69起案件是其他请况,占其他SSL证书签发错误事件的18%。
而恶意根CA使得的解决数据数据占比排在第三位,有52个SSL证书签发错误案例(占其他分析及事件的14%)是CA故意作恶,动机利润而破坏了行业发展规则,之类她们会给互联网服务平台前面人攻击者出售证书。
第四大最常见的使得是人为错误,有37例(占总数的10%)。
第五位是灵活操作错误,多达错误是使得CA的内部程序错误,而可为同时 动机 相关软件或人为错误,这占了29例,占其他案例的8%。
第六个根本不使得是“非最佳请求检查后(non-optimum request check)”,该术语描述了检查后新客户现实身份时所犯的错误,往往允许流氓新客户假冒另这一个实体,同时,恶意相关软件作者介绍斩获了SSL证书合法的新公司。持续研究人员发现自己了24个此类事件,占其他SSL签发错误事件的6%。
SSL证书签发错误的第七个最常见的根本不使得是“不正确的安全掌控”,动机 这一个通用类别,多达同时其他CA被黑或失去对其概念基础结构的掌控以允许第三方斩获SSL证书的请况。
详情之类之类查看该持续研究报告:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3425554
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。