趣谈山寨CA

“山寨”一词,出自粤语,原指那些没有牌照、难入正规渠道的小厂家、小作坊。随着“山寨手机”大规模地“攻城略地”,“山寨”这个有些江湖气的词汇也渐渐被人们所熟知。不过,如今提到“山寨”一词,已经不仅仅局限于“山寨手机”了:“山寨数码相机”、“山寨电影”、“山寨T恤”甚至“山寨明星”纷纷出炉,甚至衍生出了“山寨文化”。
一SSL证书是否被浏览器信任,是由它的根证书是否被浏览器信任所决定的。当一位网友在地址栏敲入https://www.domain.com来连接到部署SSL证书的服务器时,该网友的浏览器会从受信的根证书库中检查SSL证书的根是否在里面,如果是受信的根证书签发的,那么浏览器会认为网站所用的SSL证书是合法机构签发的。再通过SSL证书里的common name字段与网址是否一致,以此判断网站是否是真实可信的。受信任的根CA证书已经嵌入在浏览器(如IE和Firefox)浏览器供应商。
GeoTrust和thawte是众所周知的受信发证机构,它们的受信根CA证书不仅被添加到所有主流浏览器中,而且内嵌在symbian, Windows Mobile, Linux等各种智能手机中。
用户从这些受信机构购买的SSL证书,由它独家运行和管理的CA根证书上签发的,从离线根密钥的生成、到在线根证书的导入,到浏览器厂商的密切联系,从内部极为规范的密钥管理、角色管理和操作控制,再到每年定期的第三方Webtrust, BS7799, SAS70审核,可以有效保证SSL证书只给真实合法的机构来使用。显然,这种品牌SSL证书能够带来更大更持久的声誉。
个别非正规的小型认证机构没有在浏览器中受信任的根CA证书存在,或不按保障级别正确使用他们自己的根,并随意使用大量发展“继子根证书”,随意继承他们的根证书的信任关系。继子根的公钥被浏览器信任的根证书签名,从而得到受信任的根CA浏览器的承认。这些非正规认证机构借这种继子关系,可以自行签发SSL证书。
如果上述的非正规则机构有自己独立的密钥管理、CA运营系统,并公告相应的证书颁发策略CPS的话,也还勉强说过去。
这种山寨版本SSL证书有什么危害呢?
由于将山寨SSL纳入信任关系的国外机构都是规模小,声誉差的认证机构,难以得到浏览器的直接信任,并且在浏览器升级中可能被排除在信任根证书之外。它的目标是当前的那点收入,基本上无力顾及根证书的长久信任及升级换代。证据就是网站关于这些小型认证机构的负面报道不断,甚至将SSL证书签发给了假冒网站和恶意软件。
用户没有跟国外的根证书厂商签订合同,但是所购买的SSL证书是受国外根厂商的证书颁发策略制约的,国外根厂商没有义务理会这些用户的损失或风险,随时面临被吊销甚至根本不会得到告知的潜在风险。
这被称为“继子根”或“连锁根”山寨SSL证书,长达四级的证书链不仅安装复杂,也不被一些Web服务器和应用程序兼容,更存在发证给钓鱼网站的潜在风险。
正规和知名品牌的认证机构颁发的SSL证书,它的主要功能已经不单单是加密,更重要的是,它能为用户和网站之间建立一种显而易见的信任关系。这也是EV证书等新一代SSL证书得到主流浏览器厂商全力支持的根本原因。

“山寨”一词,出自粤语,原指那些没有牌照、难入正规渠道的小厂家、小作坊。随着“山寨手机”大规模地“攻城略地”,“山寨”这个有些江湖气的词汇也渐渐被人们所熟知。不过,如今提到“山寨”一词,已经不仅仅局限于“山寨手机”了:“山寨数码相机”、“山寨电影”、“山寨T恤”甚至“山寨明星”纷纷出炉,甚至衍生出了“山寨文化”。

众所周知,SSL证书是否被浏览器信任,是由它的根证书是否被浏览器信任所决定的,亦即其根是否预置在浏览器的根证书库中,浏览器检索到如果是受信的根证书签发的,那么浏览器会认为网站所用的SSL证书是合法机构签发的。再通过SSL证书里的common name字段与网址是否一致,以此判断网站是否是真实可信的。

Verisign,GeoTrust和thawte以及Trustwave等都是众所周知的受信发证机构,它们的受信根CA证书不仅被添加到所有主流浏览器中,特别Verisign和Thawte且内嵌在symbian, Windows Mobile, Linux等各种智能手机中。

用户从这些受信机构购买的SSL证书,是由独家运行和管理的CA根证书上签发的,从离线根密钥的生成、到在线根证书的导入,再到浏览器厂商的密切联系,从内部极为规范的密钥管理、角色管理和操作控制,再到每年定期的第三方诸如Webtrust, BS7799, SAS70审核,可以有效保证SSL证书只给真实合法的机构来使用。显然,这种顶级品牌SSL证书能够带来更大以及持久的声誉保证。

诚然,在浏览器内预置预埋了根的CA,做到了浏览器的信任,但是这些CA是否都值得我们信任么?这的确是个问题!

2005年中国颁布的CA管理条例,明确规定底线:3000万元注册资本。这个数字也是各方博弈的结果,有的人喊低,有的机构觉得高。看看我们周围,如果一个煤老板,或者一个房老板,拿个3000万做一个CA,轰轰烈烈一段时间后,突跑开,我们用户怎么办?这样的证书的含金量如何?这样的证书能给我们带来什么?值得思考。

我们在查询浏览器的预置根证书里面,会发现有些CA已经不再更新Root证书,还有一些尽管存在,但是我们很少听或看到,或者负面你消息是否不断,它的目标是当前的那点收入,基本上无力顾及根证书的长久信任及升级换代。更甚至,这部分CA不按保障级别正确使用他们自己的根,随意大量发展“继子根证书”,随意继承他们的根证书的信任关系。继子根的公钥被浏览器信任的根证书签名,从而得到受信任的根CA浏览器的承认。从而使一些非正规认证机构借这种继子关系,可以自行签发SSL证书。

如果上述的“继子根”颁发机构首先通过工信部的检查,获得了法律许可,有自己独立的密钥管理、CA运营系统,并公告相应的证书颁发策略CPS的话,也还可以说得过去。

怕就怕,三流的授信CA对非法设立的CA授权继子根,就有点“盲人骑瞎马“的味道了。对于这样的CA机构,我们都还是敬而远之为好。欢迎对号入座!

这种山寨版本SSL证书有什么危害呢?

将山寨CA纳入信任”继子“关系的国外机构都是业务拓展较差,声誉也差的认证机构,甚至将SSL证书签发给了假冒网站和恶意软件。

对用户而言没有跟国外的根证书厂商签订合同,但是所购买的SSL证书是受国外根厂商的证书颁发策略制约的,国外根厂商没有义务理会这些用户的损失或风险,随时有被吊销根甚至根本不会得到告知的潜在风险。

这被称为“继子根”或“连锁根”山寨SSL证书,长达多级的证书链不仅安装复杂,也不被一些Web服务器和应用程序兼容,更存在发证给钓鱼网站的潜在风险。

正规和知名品牌的认证机构颁发的SSL证书,它的主要功能已经不单单是加密,更重要的是,它能为用户和网站之间建立一种显而易见的信任关系。

信任是商业的基石,信任是一切。

这样的例子,我们周围就有,对国人大喊:”中国人还是更信任中国的CA“, 殊不知其根本就不是”工信部认证授权可以运营的CA。如果你去追问,说不定对方会给你讲一个更长的故事:我们总部在美国或者“某个岛国”…所以不受中国管理…..山寨本质暴露无疑。

欢迎对号入座。

郑重声明:

1,巴士有能力提供基于“自建CA体系的SSL证书以及CodeSign软件代码签名证书”颁发测试;但是不出售自颁发证书。

2,我们仅仅代理销售Verisign,Geotrust,Thawte,TrustWave的可信证书,并且提供尽可能周到技术支持和和服务。

未完待续…..