网络战雇佣兵团体不应该在您的浏览器或其他任何地方受信任

  • 网络战雇佣兵团体居然想要占据最关键的门户,还有人记得 CNNIC 和 Teliasonera 的悲剧吗?

DarkMatter 是一家位于阿联酋的臭名昭著的网络战雇佣军公司,它正在寻求成为 Mozilla 根证书计划的顶级证书颁发机构。给这家公司这样一个值得信赖的职位将是可怕的主意。

DarkMatter 在破坏加密方面具有商业利益,并且能够潜在地解密他们拦截的任何 HTTPS 流量。HTTPS 有必要的原因是保护您的私人通信免受政府窥探的影响 — 当政府想要窥探时,他们会定期雇用 DarkMatter 来完成这一肮脏的工作。

根证书程序中的成员身份是 Mozilla 决定哪些证书颁发机构(CA)在 Firefox 中获得信任的方式。Mozilla 的受信任根证书列表也用于许多其他产品,包括 Linux 操作系统。

浏览器依赖于这些权限列表,这些权限可以使用 TLS 和 HTTPS 等技术来验证和颁发允许安全浏览的证书。证书颁发机构是 HTTPS 的基础,但它们也是最大的弱点。

您的浏览器信任的数十个证书颁发机构中的任何一个都可能秘密为任何网站(例如 google.comeff.org)发放欺诈性证书。然后,证书颁发机构(或其他组织,例如政府间谍机构)可以使用欺诈性证书监视您与该站点的通信,即使它是使用 HTTPS 加密的也无法阻止这种监视。证书透明度可以通过要求公开所有已颁发的证书记录来缓解一些风险,但不是灵丹妙药。

浏览器的可信CA列表中的公司很少犯这样的欺诈行为,因为不发布恶意证书是证书颁发机构的首要责任。但它可以而且仍然会发生。在这种情况下,人们关注的是,DarkMatter 的业务涉及拦截互联网通信、黑入持不同政见者的 iPhone、以及其他网络雇佣兵工作。

DarkMatter 的业务目标直接取决于希望窥探的政府希望拦截哪些用户流量。给 DarkMatter 一个值得信赖的根证书就好像让众所周知的狐狸守护鸡窝一样。

目前,在浏览器中被接受为可信证书颁发机构的标准是一个技术和官僚机构。例如,组织的文档化实践是否满足最低要求?组织是否可以颁发符合标准的证书? Dark Matter 最终可能符合这些标准。但是这些标准没有考虑到一个组织试图破解加密或其利益冲突的历史。

其他组织过去曾使用这一事实来伤害系统,并以蠕虫的方式进入我们的浏览器。 2009年,Mozilla 允许 CNNIC(中国国家认证机构)进入根证书计划,此前 CNNIC 向 Mozilla 和更大的社群保证,它不会滥用这种权力来创建假证书和破解加密。而2015年,当 CNNIC 授权的中间CA为多个谷歌所有的域名颁发非法证书时,CNNIC 陷入了丑闻。谷歌、Mozilla 和其他人在得知违反信任后迅速撤销了 CNNIC 在浏览器和操作系统方面的权力。

CNNIC 不是唯一的例子。 2013年,Mozilla 在指责 Teliasonera 帮助启用政府间谍活动后,考虑放弃这家瑞典公司。 Teliasonera 最终没有被淘汰,但它至今仍然存在安全问题

DarkMatter 已获得另一家名为 QuoVadis 的公司的“中间”证书,该公司现在归 DigiCert 所有。这已经够糟糕了,但“中间证书”权力至少伴随着 DigiCert 的表面监督,否则情况会更糟。鉴于 DarkMatter 的已知做法已经颠覆了互联网安全,EFF鼓励 Mozilla 和其他人撤销其权力。

Mozilla 和其他根证书数据库维护者(Microsoft,Google 和 Apple)不应该将 Dark Matter 视为根证书颁发机构。否则会为其他网络雇佣兵团体打开大门,例如最臭名昭著的 NSO 集团或 Finfisher,也会闯入其中。

Cyber-Mercenary Groups Shouldn’t be Trusted in Your Browser or Anywhere Else. Mozilla and other root certificate database maintainers (Microsoft, Google, and Apple) should not trust Dark Matter as a root certificate authority.

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据