证书颁发机构在打击网络钓鱼和恶意软件中的作用
自从我们宣布推出 Let's Encrypt 以来,我们经常被问到我们如何确保不会为网络钓鱼和恶意软件网站颁发证书。人们最常表达的担忧是,拥有有效的 HTTPS 证书会让这些网站看起来更合法,从而让人们更容易相信它们。
决定如何处理这个问题很困难。一方面,我们和任何其他人一样不喜欢这些网站,我们的使命是帮助构建一个更安全、更安全的网络。另一方面,我们不确定证书颁发(至少对于域名验证而言)是否是在 2015 年打击网络钓鱼和恶意软件网站的合适级别。这篇文章解释了我们的想法,以鼓励大家就证书颁发机构生态系统在打击这些恶意网站中的作用进行对话。
证书颁发机构并非良好的内容监管者
Let's Encrypt 将要颁发域名验证 (DV) 证书。从技术层面上讲,DV 证书断言公钥属于某个域名——除此之外它不会对网站的内容或运营者有任何其他说明。DV 证书不包含有关网站信誉、现实世界身份或安全性的任何信息。但是,许多人认为仅仅存在 DV 证书就应该至少暗含了其中的一些内容。
将 DV 证书视为对网站内容的某种“认可印章”是有问题的,原因有以下几个方面。
首先,证书颁发机构并不适合进行反网络钓鱼和反恶意软件操作——或者更普遍地监管内容。它们根本无法持续地对网站内容进行足够的监控。证书颁发机构能做的最好的就是与拥有更多内容感知能力的组织(例如微软和谷歌)进行核实。谷歌和微软从庞大的爬取和报告基础设施中获取了大量有关网络的数据。这些数据使他们能够使用复杂的机器学习算法(由数十名员工开发和运营)来识别恶意网站和内容。
即使证书颁发机构通过良好的 API 检查网络钓鱼和恶意软件状态,证书颁发机构准确表达有关网络钓鱼和恶意软件信息的的能力也极其有限。网站内容变化的速度可能远快于证书颁发和吊销周期,网络钓鱼和恶意软件状态可能是页面特定的,证书及其相关的浏览器 UI 几乎不包含任何有关网络钓鱼或恶意软件状态的信息。当证书颁发机构不为包含网络钓鱼或恶意软件内容的网站颁发证书时,用户 simply 不会看到锁定图标。当浏览器包含反网络钓鱼和反恶意软件功能时,用户会得到更好的告知和保护,这些功能通常不会受到任何这些限制的影响。
将 DV 证书视为对网站内容的“认可印章”的另一个问题是,除了简单地将高价值域列入黑名单外,对于证书颁发机构的反网络钓鱼和反恶意软件措施,没有标准,因此在数千个受主要浏览器信任的证书颁发机构中,执行情况并不一致。即使某个证书颁发机构采取了非凡的措施来剔除不良网站,攻击者也可以简单地到其他证书颁发机构去寻找证书。攻击者几乎总能获得证书并保留足够长的时间来利用人们。证书颁发机构反网络钓鱼和反恶意软件程序的先进程度无关紧要,重要的是最差的程序有多好。这是一个“寻找最薄弱环节”的场景,而薄弱环节并不难找。
浏览器制造商已经意识到了这一切。这就是为什么他们推出了网络钓鱼和恶意软件防护功能,以及不断改进他们的 UI,使其更准确地反映证书实际做出的断言。
TLS 现在不再是可选的
当 HTTPS 和 SSL/TLS 在 20 世纪 90 年代首次开发时,它们被认为是“特殊”的保护措施,仅对于某些类型的网站(例如接受信用卡的在线银行和购物网站)才必要或有用。我们现在已经意识到,HTTPS 对于几乎所有网站都至关重要。它对于任何允许人们使用密码登录的网站、任何以任何方式跟踪其用户的网站、任何不想修改其内容的网站,以及对于任何提供人们可能不希望别人知道他们正在消费的内容的网站都至关重要。我们还了解到,任何没有由 HTTPS 保护的网站都可以用来攻击其他网站。
TLS 不再是例外,也不应该。这就是我们构建 Let's Encrypt 的原因。我们希望 TLS 成为网络上通信的默认方法。它应该只是网络结构的一个基本组成部分,就像 TCP 或 HTTP 一样。当这种情况发生时,拥有证书将成为一个生存问题,而不是增值,内容监管错误将特别代价高昂。从技术角度来看,错误将导致由于缓慢的颁发和吊销周期而导致的重大停机时间,以及诸如 HSTS 等功能。从哲学和道德角度来看,错误(无论是有意还是无意)将意味着审查制度,因为证书颁发机构将成为在线言论和存在的守门人。这可能不是证书颁发机构的理想角色。
我们的计划
至少在目前,Let's Encrypt 将在颁发证书之前与 Google 安全浏览 API 进行核实,并拒绝向被标记为网络钓鱼或恶意软件网站的网站颁发证书。谷歌的 API 是我们所能访问的有关网络钓鱼和恶意软件状态信息的最优来源,在颁发证书之前尝试进行超出查询该 API 的操作几乎肯定会是浪费和无效的。(更新:截至 2019 年 1 月 10 日,我们不再根据安全浏览 API 检查域名。)
我们将实施这种网络钓鱼和恶意软件状态检查,因为许多人仍然不满意证书颁发机构完全放弃反网络钓鱼和反恶意软件工作,即使对于 DV 证书也是如此。我们希望在放弃许多人认为是重要的证书颁发机构行为之前,继续进行更长时间的对话,即使我们不同意。
结论
打击网络钓鱼和恶意软件内容是一项重要的工作,但对于证书颁发机构来说,至少在 DV 证书方面,不适合成为这场战斗的最前线。也就是说,在继续进行对话的同时,我们将实施对 Google 安全浏览 API 的检查。
我们期待听到您的想法。请告诉我们。