微软将live.fi虚假证书拉入黑名单

老兵

微软已公布一项警告称一个虚假SSL数字证书以芬兰版的Windows Live服务被颁发。尽管微软表示已废除该证书，但安全专家警告称更早版本的软件可能会在未来几个月甚至几年的时间里持续“信任”这个证书，而攻击者可借此引诱用户运行这个恶意软件。
“微软已经意识到为‘live.fi’域名不恰当地颁发了一个SSL证书，这个证书可能会被用来伪造邮件、发动钓鱼攻击或者发起中间人攻击，”微软在3月16日的一份安全警告中表示，“这个恶意证书无法发布其他证书、模仿其他域名或签署代码。这个问题影响所有微软Windows版本。微软目前并未发现与此有关的攻击。”
域名“live”意指Windows Live服务，是目前微软已不再支持的Web服务及软件。跟MSN及Hotmail品牌一样，微软之前曾提供“live”域名的邮件地址。但来自F-Secure安全公司的一名专家表示，微软现在似乎在鼓励用户注册“outlook”域名。
风险
一直以来，安全专家总是警告称，当攻击者获取访问合法数字证书的权限后，他们能够将恶意软件伪装成合法软件，这样更方便诱骗终端用户安装。
幸运的是，Live.fi证书据称被颁发给了一名芬兰人，这名未具名人士表示他曾尝试给芬兰机构及微软官员发出有关问题的警告。“有一天我发现微软的新邮件服务允许用户创建多个邮件别名，或者将邮件地址替换为同一个账户。”他表示，“我试了试，不过就是为了好玩，来看看我能否创建一个域名持有地址。”“域名持有地址”意指一份电子邮件地址能显示成为任何域名持有者拥有该地址。
事实上，这名芬兰人表示他能够注册Hostmaster@live.fi，并且通过世界最大的数字证书机构Comodo为Live.fi获取一个合法的HTTPS证书。
Comodo回应称“立即废除了与live.fi域名有关的未经授权证书”，但拒绝回答能否重新访问证书签名保护的问题。Comodo的域控制验证指南表示，它的自动系统会发送一个唯一验证码为以下一个域名的电子邮件地址域名注册一个证书：
•    admin@
•    administrator@
•    postmaster@
•    hostmaster@
•    webmaster@
然而，从理论上来讲，只有管理员级别的员工才可以访问这些地址。确实，微软相关的安全警告指出：“一个具有特权权限的用户名可为live.fi域名注册一份电子邮件地址，而这个用户名随后会要求为域名获得一个未经授权的证书。”也就是说，“这似乎不是Comodo的问题，而是微软的问题，”Netcraft信息安全专家Paul Mutton表示，“这个证书是‘经域名验证的’，也就是说这个申请者只需向Comodo证明拥有live.fi的域名即可。”
域名验证证书是能够获取的最为简单的SSL证书类型。“其他类型的证书如机构验证及扩展的验证证书需要在颁发前进行额外的检查，”Mutton表示，“采用虚假手段获取这种证书会更加困难。”但对于黑客来说，域名验证证书依然可用于多种攻击。
警告被忽视？
声称注册了虚假证书的芬兰人表示，已在一月份向芬兰通讯传播管制局报告了这个问题，但并未被解决。随后他尝试通知微软的多个人员，但再次未收到回应。但他指出，当微软在3月12日禁用了他主要的Live.fi账户后——导致他的Xbox账户被冻结，剥夺了通过Live.fi地址访问邮件的功能并禁用了Lumia手机的多个功能——他怀疑微软官方最终意识到了这个问题。

微软并未立即对此报告或者对报告这类安全漏洞的最佳机制做出回应。
Windows：一些自动撤销
微软表示，目前已将虚假Live.fi证书添加到Windows黑名单中。“为了保护这个数字证书不被恶意利用，证书授权颁发机构已经撤销该证书，并且微软正在为所有Windows版本更新证书信任列表以删除对引发该问题证书的信任，”微软在安全警告中表示。
也可为以下版本中的被废除证书进行自动更新，包括Windows 8、8.1、RT以及RT8.1；Windows Server 2012及2012 R2；以及运行Windows Phone 8及 Windows Phone 8.1的移动设备，微软表示，“对于这些操作系统及设备，用户不必采取任何措施，因为这些系统及设备将会自动受到保护”。同样Windows Vista，7，Windows Server 2008 R2也有一个可选自动更新器将删除这些证书。
但对于那些没有安装自动更新器以删除证书或者哪些正在运行Windows Server 2003的用户来讲，微软建议立即通过微软的更新服务更新Windows，或者手动下载并通过相关更新服务予以更新。
然而，虚假证书带来的一个挑战是，它们很难被杀死。“证书吊销列表（Certificate Revocation Lists）以及OCSP（在线证书状态协议）是‘召回’一个恶意证书的两种主要机制，但它们并不总是起作用，”SANS机构研究主任Johannes Ullrich表示。
例如，如果不能通过某个证书检查机制来建立链接——比如访问被恶意软件或中间人攻击所拦截——浏览器仍然会允许HTTPS会话继续，以防这个网络问题不是恶意的，Netcraft在2013年一篇博文中表示。同样，只要证书还未过期，它就会被当做是合法的即便它已被删除。“甚至是在最安全的浏览器中，一个安全网站的高频率用户依然会在几周或者几个月的时间里继续使用，尽管信任链中的一个证书已被删除了。”Netcraft表示。
遗憾的是，在过去的两年中这种情况丝毫没有改变，Netcraft表示，“在实践中，依然难以杀死那些恶意证书。浏览器供应商并不会仅仅依赖于现有的删除机制，而是会采取全新发布的方式以确保被攻陷或被恶意颁发的证书不再受到信任，这种情况并不少见。在最坏的情况下，更早版本的浏览器软件可能还会在未来几个月或几年的时间里受到信任。”
Ullrich表示，SSL数字证书问题的这种“悲哀”状态需要被证书机构社区“修复”。“证书授权机构系统中存在的社会及政治漏洞远比FREAK 或POODLE等技术问题严重，”他表示，“但遗憾的是，用户几乎没有任何修复颁发。谷歌提出了一个很有趣的提议以实现证书透明，这可能会有点用，但迄今为止来自证书机构的支持甚少。”