憑證授權機構 (CA) 在打擊網路釣魚和惡意軟體中的角色
自從我們宣布 Let's Encrypt 之後,我們經常被問到,將如何確保我們不會為網路釣魚和惡意軟體網站核發憑證。最常被提出的擔憂是,擁有有效的 HTTPS 憑證會幫助這些網站看起來更合法,使人們更有可能信任它們。
決定如何處理這裡的情況一直很困難。一方面,我們和任何其他人一樣不喜歡這些網站,而且我們的使命是幫助建立一個更安全和更有保障的網路。另一方面,我們不確定憑證核發(至少對於網域驗證而言)是否是 2015 年用來監管網路釣魚和惡意軟體網站的正確層級。這篇文章解釋了我們的想法,以鼓勵大家討論憑證授權機構生態系統在打擊這些惡意網站中的作用。
憑證授權機構 (CA) 並不適合擔任內容監管者
Let's Encrypt 將核發網域驗證 (DV) 憑證。在技術層面上,DV 憑證聲明一個公開金鑰屬於一個網域 – 它沒有聲明關於網站內容或誰在營運的任何其他資訊。DV 憑證不包含任何關於網站聲譽、真實身分或安全性的資訊。然而,許多人認為僅僅存在 DV 憑證就應該至少表示這些事情中的一部分。
將 DV 憑證視為網站內容的一種「核准印章」有幾個問題。
首先,憑證授權機構 (CA) 並不適合運作反網路釣魚和反惡意軟體行動 – 或更廣泛地監管內容。它們根本沒有足夠的持續可見性來查看網站的內容。憑證授權機構 (CA) 最多只能向那些對內容有更高認知度的組織查詢,例如 Microsoft 和 Google。Google 和 Microsoft 從大規模的爬網和報告基礎架構中獲取大量的網路數據。這些數據使他們能夠使用複雜的機器學習演算法(由數十名員工開發和操作)來識別惡意網站和內容。
即使憑證授權機構 (CA) 使用良好的 API 檢查網路釣魚和惡意軟體狀態,憑證授權機構 (CA) 準確表達關於網路釣魚和惡意軟體資訊的能力也非常有限。網站內容可以比憑證核發和撤銷週期變化的速度快得多,網路釣魚和惡意軟體的狀態可能特定於頁面,而且憑證及其相關的瀏覽器 UI 幾乎不包含任何關於網路釣魚或惡意軟體狀態的資訊。當憑證授權機構 (CA) 沒有為具有網路釣魚或惡意軟體內容的網站核發憑證時,使用者只看不到鎖定圖示。當瀏覽器包含反網路釣魚和反惡意軟體功能時,使用者可以獲得更好的資訊和保護,這些功能通常不會受到任何這些限制的影響。
將 DV 憑證視為網站內容的「核准印章」的另一個問題是,除了高價值網域的簡單黑名單之外,沒有針對憑證授權機構 (CA) 反網路釣魚和反惡意軟體措施的標準,因此在主要瀏覽器信任的數千個憑證授權機構 (CA) 中的執行是不一致的。即使一個憑證授權機構 (CA) 採取非凡的措施來清除不良網站,攻擊者也可以簡單地向不同的憑證授權機構 (CA) 貨比三家。壞人幾乎總是可以獲得憑證並持有足夠長的時間來剝削人們。最好的憑證授權機構 (CA) 反網路釣魚和反惡意軟體計畫有多麼複雜並不重要,重要的是最差的計畫有多好。這是一個「找到最弱環節」的情境,而且弱環節並不難找到。
瀏覽器製造商已經意識到這一切。這就是他們推動網路釣魚和惡意軟體保護功能的原因,並正在演變他們的 UI,以更準確地反映憑證實際做出的聲明。
TLS 不再是可選的
當 HTTPS 和 SSL/TLS 在 1990 年代首次開發時,它們被認為是「特殊」的保護措施,只對特定類型的網站是必要或有用的,例如線上銀行和接受信用卡的購物網站。從那時起,我們已經意識到 HTTPS 對於幾乎所有網站都很重要。對於任何允許人們使用密碼登入的網站、任何以任何方式追蹤其使用者的網站、任何不希望其內容被變更的網站,以及任何提供人們可能不希望他人知道他們正在消費的內容的網站,這都很重要。我們還了解到,任何沒有透過 HTTPS 保護的網站都可以被用來攻擊其他網站。
TLS 不再是例外,也不應該是。這就是我們建立 Let's Encrypt 的原因。我們希望 TLS 成為網路上通訊的預設方法。它應該只是結構的基本部分,就像 TCP 或 HTTP 一樣。當這種情況發生時,擁有憑證將會成為一個攸關生存的問題,而不是增值,而且內容監管的錯誤將會特別昂貴。在技術層面上,錯誤會因為核發和撤銷週期緩慢以及 HSTS 等功能而導致嚴重的停機時間。在哲學和道德層面上,錯誤(無論是無意的還是其他原因)都意味著審查,因為憑證授權機構 (CA) 將成為線上言論和存在的守門人。這可能不是憑證授權機構 (CA) 的好角色。
我們的計畫
至少在目前,Let's Encrypt 將在核發憑證之前檢查 Google 安全瀏覽 API,並且拒絕向被標記為網路釣魚或惡意軟體網站的網站核發憑證。Google 的 API 是我們所能取得的最佳網路釣魚和惡意軟體狀態資訊來源,而且嘗試在核發前執行查詢此 API 之外的其他動作幾乎肯定是浪費且無效的。(更新:截至 2019 年 1 月 10 日,我們不再根據安全瀏覽 API 檢查網域。)
我們將實施此網路釣魚和惡意軟體狀態檢查,因為許多人並不喜歡憑證授權機構 (CA) 完全放棄反網路釣魚和反惡意軟體工作,即使是對於 DV 憑證也是如此。我們想在我們放棄許多人認為是重要的憑證授權機構 (CA) 行為之前,繼續對話一段時間,即使我們不同意。
結論
打擊網路釣魚和惡意軟體內容是一項重要的工作,但是憑證授權機構 (CA) 不應該站在第一線,至少在 DV 憑證方面是如此。也就是說,我們將在繼續對話時實施針對 Google 安全瀏覽 API 的檢查。
我們期待聽到您的想法。請告訴我們。