编者按
《互联网基础设施与软件安全年度发展研究报告(2020)》第一章《我国互联网基础设施安全测量与分析报告》,共七个小节,分别为:互联网基础设施安全的范畴与形势、域名系统安全现状、HTTPS部署与公钥证书现状、内容分发网络安全现状、电子邮件安全拓展协议现状、IPv6安全现状、互联网基础设施安全前景展望。我们已经发布了前两节,本文为第三小节《HTTPS部署与公钥证书现状》。
本文共8501字。文末有惊喜!
网络通信过程往往包含用户个人信息等重要的隐私数据,保护通信数据的安全是互联网基础设施的重要作用之一。为了满足通信内容安全的需求,HTTPS(HTTPoverSSL/TLS)被广泛部署,它通过SSL/TLS协议对应用层数据进行加密,能够确保在不安全的网络上创建一个安全信道,并为中间人攻击和窃听等主动或被动的网络攻击提供合理防护。
从宏观来看,SSL/TLS协议对网络通信的加密保护依赖于公钥基础设施(PublicKeyInfrastructure,PKI)。作为一个公共的安全基础服务设施,PKI用于实现基于公钥密码体制的密钥和证书的签发、管理、存储、分发和撤销等功能,并通过证书认证机构(CertifificateAuthority,CA)签发的数字证书对通信主体进行身份认证。
近年来,网络空间安全形势快速变化,互联网基础设施的安全性正经受更为激烈的攻防对抗挑战。虽然PKI技术已经进入大规模应用阶段,但是WebPKI和HTTPS的安全问题一直是黑客和安全研究人员的关注焦点,其部署现状已经成为关系到广大群众切身利益的重要问题。
(注:本文数据均为截至2020年7月的数据)
01
主流网络服务HTTPS的部署情况
HTTPS通信与用户网页浏览、在线购物等日常活动息息相关,因此,用户所访问的主流网络服务的SSL/TLS安全状况,包括其协议支持、证书使用和漏洞分布等情况,都有着重要的安全意义。
通过对SecRankTop10万域名进行测量,最终获得4.6万可访问的网络服务信息(见表1-7)。总体而言,国内网络服务对HTTPS服务的支持率较为可观,但仍存在安全策略、协议支持等方面的部署缺陷。
表1-7SecRankTop10万网络服务的解析、访问状态
1.HTTPS部署率较高,以混合部署居多
通过HTTP/HTTPS请求检测目标网络服务的HTTP和HTTPS服务开放情况,发现HTTPS部署率提高并以混合部署居多。如图1-14所示,目前可访问的4.6万主流网络服务中,有73.93%的站点响应HTTPS;其中,有3.61%的站点只支持HTTPS而不支持HTTP,响应HTTP请求的状态码为400、403、404等,目的在于通过提供不正常的HTTP服务来限制用户只能访问HTTPS服务。
图1-14Top10万域名中可访问网络服务的HTTP和HTTPS部署支持分布情况
高达70.32%的可访问网络服务存在HTTP和HTTPS协议混合部署现象,通常是指在HTTPS页面引入HTTP链接,这些HTTP链接可能指向本站点,或指向其他站点。虽然SSL/TLS可以对网络通信起到很好的安全防护作用,但是如果存在协议混合部署的情况,则攻击者便有机会利用未加密的HTTP请求对网络服务进行中间人攻击—替换资源、窃取敏感数据、注入Cookie,甚至控制整个页面等,这会大大降低HTTPS的安全性。
判断协议混合部署的方法在于检测HTTPS页面是否引用了HTTP资源,例如利用标签引入指向HTTP网络服务的链接Link。通过HTTPS方式访问所有待测目标网络服务的首页,并从响应页面中提取、、等HTML标签,可以判断其是否包含HTTP链接。从图1-15中可以看出,约42%的HTTPS网络服务都存在此类问题,其中最常见的是通过和标签引入HTTP链接。总体而言,目前主流网络服务中协议混合部署的现象比较普遍,各网络服务管理员需要注意在进行网页编程时各标签引入明文链接的问题。
图1-15Top10万网络服务协议混合部署情况统计
2.SSL/TLS协议版本偏低,且存在协议漏洞
由HTTPS网络服务的SSL/TLS协议版本支持情况(见图1-16)可知,TLSv1.3尚未正式部署使用,全部HTTPS网络服务均为TLSv1.2及之前版本。从支持的协议版本来看,绝大多数网络服务支持TLSv1.1和TLSv1.2,分别占所有可访问网络服务的83.93%和93.98%;从支持的最高协议版本来看,约95.29%的网络服务最高可支持TLSv1.2版本。总体而言,大多数网络服务已对SSL/TLS协议版本进行了更新,只有约2.54%的网络服务仍然支持TLSv1及以下的版本。
图1-16Top10万网络服务SSL/TLS协议版本支持情况
根据近年来因协议设计、实现不足等问题而披露的SSL/TLS漏洞,对主流网络服务的协议部署安全性进行评估。如图1-17所示,主流网络服务当前的部署状况良好,只有较低比例的站点存在各类TLS安全漏洞。
图1-17Top10万网络服务协议漏洞统计
Logjam漏洞(CVE-2015-4000):利用服务端支持512比特出口级的DH密码套件,中间人可以将有漏洞的TLS链接降级至使用弱加密强度的出口级密码套件,该攻击会影响支持DHE_EXPORT密码的所有服务器。目前该漏洞发生比例最高,约9.98%的主流网络服务存在该漏洞。
POODLE漏洞:该漏洞利用的是SSLv3中过于松散的填充结构和校验规则,只要服务端支持SSLv3就可能存在该漏洞。检测模块通过发送握手请求,获得服务端响应并判断服务端是否支持SSLv3,从而判断是否存在该漏洞。由于检测样本中约有6%的域名仍支持SSLv3,因此可推断现存POODLE漏洞网络服务最多不超过6%。
部分HTTPS站点对危害性较低的漏洞不够重视,配置或是补丁没有及时更新,导致漏洞问题一直存在,例如InsecureRenegotiation和CRIME。
3.TLS证书问题依旧普遍
X.509证书是HTTPS实现安全通信的关键部分,它帮助相互陌生的端到端通信主体验证彼此身份进而建立可靠的安全通信,而证书问题主要是证书不可信和证书弱加密强度的问题。其中证书不可信的原因主要包括根证书不可信、证书域名不匹配、证书失效和证书链不完整。
通过对SecRankTop10万域名的HTTPS服务进行探测,共获得了24,119个证书,下面从证书链可信性、证书有效期、证书颁发机构、签名算法、私钥长度及安全扩展的支持情况等多个角度对证书安全问题进行说明。
(1)证书有效期
全部证书中共有1,656(6.9%)个过期证书。从证书的生存期来看(见图1-18),近半数的证书的生存周期较短—365天和90天,有利于促进网络服务定期更新证书。只有极少数的证书生存周期仍然过长,一旦此类证书出现使用签名算法和自签名等问题,如果不及时撤销,则该问题将持续威胁到部署该证书的网络服务。
图1-18证书生存期分布
(2)证书链分析
除证书过期之外,影响证书链验证结果的因素还包括是否使用自签名证书、证书链是否完整、根证书是否可信和域名是否匹配等。对SecRankTop10万域名证书链有效性的验证结果如图1-19所示,可以看出大多数(64%)网络服务提供的证书链顶级根证书为可信根,且证书通用名称或SAN与用户请求的主机域名一致。
图1-19Top10万网络服务证书链验证结果
证书的域名不匹配现象占据证书链验证异常的主要部分。根证书可信但域名不匹配的比例达到了15%,这是由大量服务器共用TLS证书所致—证书的CN和SAN不包括所有服务的域名或不能很好地通配其他站点,而被不同服务的主机共享,尤其是子站点域名的托管主机,导致很多共用证书的站点域名不匹配。
服务端证书链不完整的现象非常普遍。检测结果显示,近11%的TLS证书链不完整,即证书链的某一级不能通过验证。在验证服务端身份时,仅凭服务器证书是不够的,需要建立一个完整的信任链。缺少中间证书导致证书信任链不完整是证书配置中常见的问题,为避免这种情况,需要向CA索取所有证书补全证书链。
根证书不可信的现象依然存在。此类问题主要是由自签名CA证书或证书过期等问题导致的。虽然对于一些非商业用途的网络服务,使用自签名根证书可以满足部署TLS协议建立加密通信的需求,但是这类证书默认是不被浏览器信任的,容易被假冒或伪造,不能抵御中间人攻击,因此访问量较大的网络服务不应该使用不可信的根证书。
此外,顺序不正确的证书链有353个,但是由于证书链顺序不影响验证结果,因此不属于证书链异常或证书失效的原因。
(3)证书签发机构
证书的签发者字段可以表现出主流网络服务中证书颁发机构的分布情况。在所有证书中,由186个可信CA签发的证书共占据91.07%。图1-20展示了教育网中排名前10位的CA分布情况,可以看到目前Let’sEncryptAuthorityX3证书得到了广泛的使用,约13.46%的证书都是通过Let’sEncryptAuthorityX3签发的证书。这主要是由于Let’sEncryptAuthorityX3可以签发免费使用的可信证书,且部署方便快捷,能够满足各HTTPS站点的基本需求。
图1-20证书签发主体统计(Top10)
(4)证书签名算法
证书的安全性取决于用来签署证书的私钥长度和签名中使用的哈希算法强度,图1-21是对证书签名算法的统计结果,可以看出证书签名算法以sha256WithRSA为主,占据82.37%。自2016年1月1日起,出于安全性的考虑,证书颁发机构已全面停止签发SHA1算法的数字证书,但仍有648个站点提供不安全的sha1WithRSA和md5WithRSA。目前只有16.08%的网络服务支持安全高效的ecdsaWithSHA256和ecdsaWithSHA384。
图1-21证书签名算法统计
(5)密钥长度
⽬前证书加密算法主要是RSA和ECDSA,RSA密钥长度的最低要求是2,048。1,024及以下的密钥长度已不安全。ECDSA密钥规模⼩,处理速度更快,ECDSA256的安全性相当于RSA3072。从图1-22的统计结果来看,目前大部分Web服务采用的是RSA2048,但仍有约0.73%的网络服务采用RSA1024及以下的不安全密钥长度。目前使用ECDSA的服务器比例可观,占所有测试网络服务的16.49%。
图1-22证书密钥长度统计
(6)安全扩展
为了避免SSL证书出现恶意或错误签发的情况,Google推出证书透明度(CertifificateTransparency)项目,目的是加强SSL证书的公开监管和审查,提高SSL证书的可信度。此外,为了提高证书查询效率和保护客户端隐私,服务器对OCSP装订策略(OCSPStapling)的支持正逐步落实,该策略主要是将证书的撤销状态查询过程交给服务器处理,由服务端将撤销状态结果和证书一并返回给客户端。
在国内访问的主流网络服务中,OCSPStapling和CertifificateTransparency这两种针对SSL/TLS的增强策略都得到了较高比例的支持。根据证书的扩展字段以及向服务端查询OCSP状态,发现这两种安全扩展的支持比例都超过了1/5(见图1-23),说明各类HTTPS网络服务已经开始重视证书管理、证书撤销等安全策略相关的部署,但仍有待加强。
图1-23证书安全扩展统计
4.TLS证书共享问题广泛存在
在WebPKI生态中,TLS证书可被多个域名及网站服务器共享。这些域名与服务器之间未必存在业务联系,甚至可能属于不同主体,但是它们会因为共享同一TLS证书而产生安全关联。最新研究表明,基于共享证书导致的生态缺陷,攻击者可以绕过HTTPS的相关安全防护,破坏HTTPS通信过程的安全性。共享证书的域名之间存在的安全依赖关系,会使它们整体的安全性出现“木桶效应”,即任何一台服务器的配置缺陷都有可能影响其他关联网络服务的安全。
在实际扫描结果中,有31.72%的证书已经被多个主流网络服务部署和使用。其中,一个通用名称(CN)为*.cloudfront.net的TLS证书,被269个cloudfront.net的子域名使用;另一个通用名称和签发者名称都为default的自签名证书,被55个不同主体的网络服务域名共享(部分见图1-24)。
图1-24部署同一个TLS证书的域名举例
在主流网络服务部署的TLS证书中,多域名证书占84.76%。除实际部署中的共享外,还通过统计每个TLS证书CN和SAN字段的域名数量,以分析证书理论上可以被多少实体部署使用,即一个证书可以对多少域名生效。如图1-25所示(此图中SLD代指实体注册的basedomain),有83%的TLS证书可对2个及以上FQDN有效;此外,有25%的证书对2个及以上主域名有效,即证书可以被多个实体共享。进一步地,所有单域名证书中有10.37%的域名为通配域名(如*.example.com),说明共有84.76%为共享证书。
图1-25对应不同数量证书的域名比例
综上所述,共享TLS证书的现象在主流网络服务中广泛存在,这将为各网络服务的安全性带来潜在的安全威胁,例如敏感数据被泄露、关键数据被替换等。在具体场景中,攻击者可以利用共享证书的网络服务配置缺陷,攻击已遵循最佳安全实践的网络服务,以实施支付劫持、下载劫持、登录劫持和钓鱼攻击等。
02
TLS证书误用及滥用现象显著
除主流网络服务的Web服务外,PKI又出现了很多新的应用场景,例如基于云的服务、移动和可穿戴便携设备应用、IoT等。现在对IoT、云服务等新应用场景下PKI的研究越来越受到关注,这些新应用可能会采用各种新的PKI部署方式,例如自建内部的CA、基于第三方PKI服务搭建私有CA,以及利用商业合作者或政府提供的CA服务等。不同于传统的Web服务,这些新应用场景在PKI实现方面尚无统一的部署标准和最佳实践方案。这使TLS证书不可信、签发格式不正确及其他证书误用现象越来越严重,同时也可能为PKI生态带来未知的安全威胁。
此外,目前Let’sEncrypt等免费证书的出现,降低了TLS证书的部署成本和难度。因此,TLS证书被滥用的现象突显。例如,一些黑产网络服务或恶意软件可能通过滥用TLS证书或伪造证书链来伪装流量,以对抗监管审查和流量分析,或对用户的行为造成欺骗,使其误认为正在浏览可信网络服务。
接下来,对一些TLS证书部署现状较为混乱的领域进行介绍,包括IoT场景下的PKI部署、黑产网络服务和恶意软件对TLS证书的滥用等。
1.IoT场景TLS证书分析
在PKI的新型应用场景中,IoT设备的身份认证与加密通信占据主导地位。同时,IoT设备的通信安全与用户个人隐私、生产生活息息相关。因此,基于582,736个IoT设备的活跃的公网IP地址,向其开放HTTPS服务的端口发送HTTPS请求,收集服务端TLS证书,用以分析IoT场景下SSL/TLS的部署现状。其中,分析对象涵盖了主要的IoT设备类型,包括路由器、视频监控、语音视频和打印机等,具体分析结果如下。
(1)IoT设备数据源基本信息总览
如表1-8所示,本次扫描中路由器设备的IP地址最多,约占所有地址总数的76.88%;共获得完整的证书链208,706条。其次,视频监控、语音视频和打印机等设备也有较高的TLS证书部署率。此类IoT设备大多需要Web服务页面对设备的基本配置、用户信息、存储数据等进行管理,对加密通信的需求较高。
表1-8IoT设备及扫描证书统计
(2)证书有效期
过期证书在IoT设备证书中较为常见。从所有证书数据来看,除了门禁系统、传真机等采集样本数过少的设备,每种类型的设备都会部署一定比例的过期证书。如图1-26所示,其中视频监控设备部署过期证书的比例最高,约占该设备类型提供的所有证书的49.07%;最少依旧有超过5%的比例为过期证书。
图1-26IoT设备证书过期比例分布
过期证书的大量部署使用,暴露出两方面的问题:如果客户端设备严格验证服务端证书,则过期证书会使证书验证过程失败,导致加密通信无法正常进行;如果加密通信可以正常进行,则说明客户端并未对证书的有效期、合法性进行验证,从而丧失部署TLS证书的意义。
从证书的生存周期来看,部分IoT证书的生存周期较长。在所有IoT证书中,约1.14%的证书生存周期超过10年。其中,防盗报警设备(8.57%)、打印机(8.56%)、工业控制(2.52%)等设备生存周期超过10年的证书占比排前3位。
IoT证书存在生存周期为负数的情况。在检测证书生存周期(NotBefore至NotAfter)时,可以发现路由器和视频监控设备证书存在NotBefore大于NotAfter的情况,共有101个证书存在此种异常现象。出现这种现象是因为IoT设备证书自签名或自建CA签发的情况较多,且无统一标准,容易在具体实现过程中存在失误。
(3)证书签发主体
IoT设备部署自签名证书的比例相对于传统网络服务较高。如图1-27所示,每种设备类型部署的TLS证书都有较高比例的自签名证书。其中路由器、语音视频、打印机、多功能一体机、防盗报警装置等证书的比例均超过了50%。自签名证书的大量使用,将会给证书验证过程带来安全威胁,甚至容易被中间人仿冒和替换,使该类设备的加密通信隐私数据不再受到保护。
图1-27IoT证书自签名证书比例
IoT设备证书签发者。通过对结果中的证书CA进行统计,可以获取IoT场景中证书颁发机构的分布情况。图1-28展示了非自签名证书中排名前10位的CA占比情况。Ruckus系列的路由器,倾向于使用自己的PKI体系,对自己的产品进行证书签发。并且很多公司使用了其自建的CA,命名为ProductRootCA。同时Let’sEncryptAuthorityX3证书也得到了广泛的使用,约4.23%的证书是通过Let’sEncryptAuthorityX3签发的证书。Let’sEncryptAuthorityX3简单快捷,并且提供免费的证书签发服务,受到IoT设备提供者的青睐。
图1-28IoT证书签发者统计
(4)证书签名算法与密钥长度
IoT证书的安全性整体偏弱。在图1-29中,横坐标中标出的算法安全强度从左至右依次提升,而图中的统计数据显示左侧(相对安全性较低)的签名算法占比较多,其中包括两种公认为不安全的md5WithRSA和sha1WithRSA。其中路由器设备证书中弱签名算法签发的证书占20%,而这些证书在视频监控设备占70%。
图1-29IoT证书签名算法百分比统计
此外,在所有IoT证书中,近40%的证书采用RSA1024以下的不安全密钥长度。其中,视频监控设备使用弱密钥的证书占比最高,为55.62%;而路由器和打印机部署的弱密钥证书都超过30%。
2.黑色产业域名部署的TLS证书分析
随着TLS部署成本的降低,越来越多的非法领域也会部署TLS及相关的安全策略,对其恶意行为进行隐匿或对用户的操作进行迷惑。基于2020年6月至7月的新增黑色产业(简称“黑产”)域名数据分析,共发现4,578,104个独立的FQDN,其中支持HTTPS且能获取到TLS证书的域名有621,843个,占总数的13.58%。
黑产域名共享TLS证书的现象非常普遍。所有可获取TLS的黑产域名中,发现62万个域名共享了34,605个TLS证书,这些域名归属于100,903个base-domain(子域名所属的主域名)。换言之,平均每18个黑产域名即可共同部署同一个TLS证书。
进一步地,统计了黑产证书中通用名称(CN)和扩展名称(SAN)的域名数量,以分析证书被不同域名共享的情况。如图1-30所示,除去35个无域名或IP地址的自签名证书,只有3,859(11.15%)个单域名证书;而其中还有254个证书(占单域名证书总数的6.58%)的CN或SAN字段为通配符域名(如*.example.com),这类通配证书可以被该主域名下的所有子域名共享。综上,共有89.48%的黑产证书被多域名共享,其中有0.81%的证书被超过100个FQDN与通配符域名组成的域名列表共享。
图1-30每个证书中的域名数量占比
黑产证书中自签名的比例偏小,但略高于主流网络服务证书中的比例。在所有收集到的黑产证书数据中,自签名的TLS证书只占2.29%,略高于主流网络服务部署自签名证书的比例(1%)。由此可见,黑产域名会倾向于采用可信CA签发的TLS证书,而非自签名,隐匿性较高,容易让用户误认为该网络服务“可信”。
黑产证书过期的概率较高。从NotAfter字段分析TLS证书的失效日期,可以发现黑产证书中采集时已过期的证书占7.9%,此比例高于主流网络服务证书的失效率,但低于IoT场景下失效证书的占比。从证书的有效期来看(见图1-31),约44%的黑产证书生存周期是1年,29.64%的黑产证书生存周期只有3个月,其余证书的生存周期大多数短于1年。
图1-31黑产证书生存周期
黑产领域部署免费证书的比例较高。对黑产证书的签发者进行统计,非自签名证书中排名前10位的签发者占比情况如图1-32所示。从签发者来看,约86%的CA均可以签发免费证书。由于黑产对TLS证书的需求量大,因此免费证书的存在可以低成本、高效率地满足该领域的市场需求。除免费证书外,黑产领域更多倾向于采用Cloudflflare签发的证书,约占所有证书的51.56%。
图1-32黑产证书签发者占比统计
3.恶意软件请求的TLS证书分析
除黑色产业之外,恶意软件加密通信过程同样容易产生TLS证书误用或滥用。将2020年2月—6月中的部分恶意软件样本作为分析对象,获取其加密通信流量的TLS指纹和TLS证书,并分析该场景下TLS证书被误用或滥用的情况。根据148,560个不同类型(包括exe、html、pdf和dll等)的恶意样本进行分析,其中有57,828(38.93%)个恶意样本有完整的TLS流并可提取到TLS证书,最终获得4,816个恶意软件运行过程中请求的TLS证书(以下简称“恶意软件证书”)。
(1)证书有效期
在恶意软件证书中,有29.63%的比例为过期证书,过期比例远高于主流网络服务证书。从证书的生存周期(NotBefore至NotAfter)来看,恶意软件请求的域名证书中,生存周期最大值均为36,500天(100年),平均存活4年半;有37.52%的证书存在生存期过长的问题,均超过5年。
(2)证书链分析
对证书链的完整性、顶级根证书的可信性以及证书链中证书顺序进行分析,发现平均有4.17%的证书链存在异常。共包括4种异常类型,分别为叶子证书自签名、证书重复、证书乱序和证书链伪造。如图1-33所示,其中87.59%的异常证书链都属于链长为1的自签名证书。而链长大于1且为叶子证书自签名的证书链,可认为是被伪造的证书链;另一种伪造的证书链是,链中各个TLS证书相互之间并无签发关系,很明显是将CA证书与自签名证书拼凑起来的链。此外,链中存在重复的证书、链中证书乱序并不会影响客户端对证书链的验证结果和信任程度,因此不会对网络服务的安全性造成已知的安全威胁。
图1-33异常证书链中各异常类型所占比例
(3)证书签发主体
恶意软件证书中自签名的比例较低,只有7.58%属于自签名证书,其中近60%的自签名证书为CA证书。从已收集证书的签发者来看,恶意软件证书的签发者证书只有216个;如图1-34所示,签发数排名前10位的CA共签发了2,252个TLS证书,占据所有恶意软件证书的46.76%,其中Let’sEncryptAuthorityX3签发的DV证书最多。
图1-34恶意软件使用的各CA签发证书占比
(4)证书签名算法
恶意软件证书中,通过不安全的算法sha1WithRSA签发的证书有213个,占证书总数的4.42%;占比最多的是通过sha256WithRSA算法签发的TLS证书,共有4,309个。总体而言,恶意软件证书的签名算法相对于IoT证书更安全。
(未完待续……)
【年度报告连载】互联网基础设施安全的范畴与形势
【年度报告连载二】域名系统安全现状
本报告剩余最后100册,关注公众号七折优惠,欢迎订阅!
立即拨打
京公网安备11000002002064号