提升数字证书知识 秒破伪造SSL证书

下个月又到了3.15，又到了一个打假的大日子。日常生活中，人民最常见的有假钞、假广告、假生活用品等等，对于这些假东西我们早已习以为常。然而，假东西已经蔓延到网络世界，甚至是信息安全行业，严重威胁到网络安全，其中网络加密协议SSL证书就是其中之一。

前两年，谷歌发现赛门铁克在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。这样的事情已经不是第一次发生了，部分CA的权利被滥用或者是错误地被用于发布伪造的数字证书，这样的举动使数百万互联网用户的隐私处于危险之中。

2011年3月，一名黑客入侵了Comodo公司，偷走了七个Web域共9个数字证书，包括：mail.trustauth.cn、addons.mozilla.org和login.yahoo.com 等。在同一年，荷兰的CA机构DigiNotar同样遭到了黑客入侵，颁发了大量的伪造证书。由于这些伪造证书，数百万用户遭到了中间人攻击。例如斯诺登泄露的文件中透露：美国国家安全局就利用一些CA颁发的伪造SSL证书，截取和破解了大量HTTPS加密网络会话。

以上事件敲响了从事信息安全服务商的警钟。为了防止盗取SSL证书再次发生，网络安全的专家们纷纷献策。其中谷歌发起了这一名为证书透明度（Certificate Transparency，简称CT）的项目。这一项目的目标是提供一个开放的审计和监控系统，可以让任何域名所有者或者CA确定证书是否被错误签发或者被恶意使用，从而提高 HTTPS 网站的安全性。

Certificate Transparency项目包括三部分：

1.证书日志

2.证书监视

3.证书审计

Certificate Transparency项目要求证书颁发机构公开地宣布其颁发的每一个数字证书(将其记录到证书日志中)。证书日志提供给用户一个查找某个给定域名颁发的所有数字证书的途径。值得注意的是，Certificate Transparency模型并没有替代传统的以证书颁发机构为基础的鉴定验证程序，它只是提供给你一个途径，让你可以确保你的证书是独一无二的。

证书日志有3个优点：

1.仅允许附加：证书记录只能被添加，而不能被删除，修改，或者追溯地将数据插入日志。

2.加密可靠：证书日志使用知名的“Merkle Tree Hashes”加密机制来防止被篡改。

3.公开审计：任何人都可以查询日志，或者验证颁发的数字证书是否已经被合理地记录在了日志之中。

国内SSL证书知名品牌GDCA也加入了CT项目，人们通过已部署GDCA SSL证书的网站查看证书具体内容，绿色地址栏，企业名称与证书颁发机构循环展示，通过证书详情了解证书类型，辨识GDCA SSL证书的真假性。