背景:
CT logs现如今呈现指数上涨,不可否认CT的提出提高了当下证书系统的安全性,因为域名所有者现在可以验证已在全球范围内为其名称签发的证书,从而能够注意到错误签发的证书。但是CT logs的公开透明也同样造成信息的泄露。在本片论文中作者主要从CT的演化以及其安全性和隐私方面进行探究。
总结:
CT logs在帮助构建更加安全的证书生态系统的同时,也增添了一些额外的威胁,公开透明的日志可以成为不法分子的强力工具。本文主要提出经过对CT logs以及野外关于CT的使用的长时间监测,发现证书仅仅登记在个别少数的logs中,CT logs中公开的证书中所包含的信息,特别是域名会暴漏很多机密、私人的信息。
细节小结:
-
首先作者针对CT logs的演化进行统计分析,时间线2015年到2018。SCT的传递方式有三种:TLS扩展、证书扩展和OCSP。在证书扩展中会首先将precertificate提交到CT logs返回SCT,将其与precertificate整合在一块成为最终的证书。这样在CT logs中存在的是precertificate。作者统计不同CA随时间变化的precertificate。并且最大的几个CA主要针对少数的几个logs,所以使生态系统容易受到这些日志中的问题的影响。
-
Server端对CT的部署情况调查,通过主被动搜集数据进行调查发现三种传递方式都存在并且证书扩展方式占比最高,作者针对一年内的数据分布占比进行统计,同时对其属于哪些CT logs进行归类,发现还是少量logs占据主导比例。用户在互联网上通常遇到的证书特性与在互联网上提供的证书有很大的不同。 我们认为这是由高知名度造成的某些服务。
-
作者针对无效嵌入式SCT进行了深入探究,证书中的SANs、DNS、IP。在预征书和最终证书中存在差别。并提出CA是否应该在其预征书之外登记最终证书。
-
DNS信息泄露:CT中证书的CN、SAN会暴漏现有子域,子域会进而暴漏相关的信息。在一般的渗透测试中准备攻击的通用方法是进行子域枚举,所以CT中公开的信息会造成进一步的信息泄露。作者统计发现每个子域在所有公共后缀中出现的频率中,“www”占比是最高的,并且确定了每个后缀中出现最高频率子域的情况。进行了一些操作,从CT数据中又发现了一批之前从未出现在公众视野的域名。
-
随着HTTPS的广泛使用,钓鱼网站同样也需要部署TLS,所以肯定需要证书。作者通过CT里面公开的数据将合法的域名排除,并统计钓鱼域名,CT非常有前途的方法来防御钓鱼攻击。
-
基于CT logs暴漏的公共数据,攻击者精确的针对受害者,而不是对IP地址空间进行不知情的扫描,以找到脆弱的服务。
-
有关文章第六节,具体内容依然没看懂,HONEYPOT的目的是什么,我看文章一直在说DNS查询,还是这方面的知识太过匮乏。