引言

隨著互聯(lián)網(wǎng)電子商務(wù)的快速應(yīng)用和電子支付的蓬勃發(fā)展，越來越多的Web應(yīng)用開始部署支持HTTPS，需要Web應(yīng)用開發(fā)者同步部署HTTPS證書來實現(xiàn)安全可信的互聯(lián)網(wǎng)應(yīng)用。最初HTTPS證書頒發(fā)與網(wǎng)站域名一一對應(yīng)，然而隨著技術(shù)的發(fā)展，一個組織需要多個HTTPS網(wǎng)站應(yīng)用，因此同一個組織內(nèi)的不同個體共享證書就成為一種典型的應(yīng)用場景，尤其是同一組織內(nèi)部不同網(wǎng)站共享同一個證書是常見的典型場景，甚至在使用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）服務(wù)后，兩個毫無關(guān)聯(lián)的網(wǎng)站因為使用同一個CDN服務(wù)商而不得不共享同一個HTTPS證書也很常見。針對需要共享證書的場景，目前很多公有云服務(wù)商都提供共享型增強(qiáng)證書的解決方案，但共享證書的場景實際存在很大風(fēng)險，當(dāng)前利用共享證書之間網(wǎng)站的安全脆弱性進(jìn)行中間人攻擊已經(jīng)存在［1］。研究數(shù)據(jù)表明，世界排名前100的HTTPS網(wǎng)站及其子網(wǎng)站，63%存在可能被攻擊的風(fēng)險，可見這類安全風(fēng)險隱患具有一定的普遍性。中間人攻擊本質(zhì)上是利用了證書共享中客戶端對證書的信任關(guān)系，雖然部署證書應(yīng)用的服務(wù)器安全配置和防護(hù)級別很高，但是攻擊者可以通過攻擊另一個共享同一個證書的配置相對薄弱的服務(wù)器，在獲取了服務(wù)器的權(quán)限后，利用共享證書的信任關(guān)系實現(xiàn)對其他服務(wù)器的中間人劫持攻擊，甚至可將HTTPS降級為明文傳輸?shù)腍TTP，從而實現(xiàn)傳輸內(nèi)容的監(jiān)聽和篡改［1］。

本文詳細(xì)內(nèi)容請下載：

http://m.jysgc.com/resource/share/2000006087

作者信息：

鄒立剛1，張逸凡1，張新躍2，袁建廷3

（1.北京國科云計算技術(shù)有限公司，北京100190；

2.中國互聯(lián)網(wǎng)絡(luò)信息中心，北京100190；

3.新疆大學(xué)信息科學(xué)與工程學(xué)院，新疆烏魯木齊，830046）