security - 受损的根 CA 是否可以模拟任何 SSL 证书？

Question

假设受信任的根 CA 受到威胁/被迫生成欺诈性 SSL 证书。此类证书能够实现什么，特别是关于 MITM 类型的攻击？

例如，以 Facebook 为例，如果我去那里，我会得到 (1) 一把挂锁，(2) 一张由 DigiCert 签名的证书，以及 (3) 我可以检查 SHA 指纹匹配某个值 81:AB:etc。

我的假设是，如果 DigiCert 是受感染的 CA，那么可以生成匹配 1、2 和 3 的假证书，对吗？ SSL 安全模型中是否还有其他任何东西可以使伪造证书与实际颁发给 Facebook 的真实 SSL 证书区分开来？或者任何其他允许基于此证书检测 MITM 类型攻击的东西？

我的第二个假设是，如果 DigiCert 以外的 CA 是受感染的 CA，那么可以生成假证书，但上面不会写“DigiCert”，并且在 SHA key 方面不匹配？这是正确的，还是有可能(纯粹从技术角度来看)根 CA 创建一个证书来冒充另一个根 CA？如果是这样，是否还有其他方法可以检测连接是否已使用此假证书加密？另一个 CA 是否可以创建一个显然具有相同 SHA key 的证书？

这个问题的灵感来自英国即将出台的“窥探者宪章”，该宪章将赋予当局多项监视数字通信的权力。关键是这种权力在加密方面可能会有多大用处，因为有人谈论使用“黑匣子”执行深度数据包检查来收集提供商(例如 Facebook)可能不会选择与英国政府共享的信息。我的猜测是这样的技术是不可能的(当然不是我希望的 DPI!)但是我不太清楚伪造证书和 MITM 攻击的可能性。我猜如果只是出于政治原因，假设精通技术的客户可以检测到假证书，就不会尝试这样做。

Answer 1

如果攻击者可以强制合法的根 CA 生成欺诈性的 TLS/SSL 证书，他们就可以使用这些证书来冒充该用户。这就是为什么 Superfish 问题如此重要。根 CA 没有受到损害，而是他们在将它们出售给客户之前将自己的根 CA 添加到一堆机器中。这使他们能够在用户不知情的情况下对所有流量进行中间人攻击。

还有一些特殊的保护措施可以防止这种情况发生。

其中一种保护措施是 HTTP 公钥固定 (HPKP)。您可以插入一个 header ，指定您的网站公钥和其中一个根 CA 的公钥。浏览器将存储此列表，并将终止与此不匹配的任何连接。因此，如果您尝试中间人攻击我与 Facebook 的连接(如果他们使用 HPKP)，我的浏览器将抛出错误并且不允许请求通过。

通过在 HPKP 中指定根 CA，它表示只有该根 CA 才能签署您的证书。如果您在 HPKP 中指定了 DigiCert，您的浏览器将不会接受由 Comodo 签署的证书。

在胖客户端或移动应用程序中，您可以执行类似的操作，称为证书固定。基本上在开发应用程序时，您可以指定服务器需要返回什么证书。如果未指定该证书，请求将失败。您还可以指定证书必须由特定根 CA 签名。

还有一种称为在线证书状态协议(protocol) (OSCP) 的协议(protocol)。浏览器将向根 CA 发出额外请求以验证证书的状态。这将检查它是否被撤销。这取决于您对 rootCA 的破坏程度。如果您的伪造证书未通过 OSCP 验证，浏览器有望通知用户。

我不确定您所说的拥有正确的 SHA key 是什么意思。 SHA1 和 SHA2 是散列算法，没有 key 。证书通常有两个使用 SHA 算法的东西。首先，它们将包含证书签名。这通常是证书内容的 SHA2，然后由根 CA 签名。该证书还包含一个指纹，它是整个证书的 SHA。更改证书的任何内容都会更改它的指纹。但是，您需要另一种通信方式才能知道预期的指纹是什么。