首页 » 漏洞 » Towards a Complete View of the Certificate Ecosystem

Towards a Complete View of the Certificate Ecosystem

 

IMC’16

论文下载

Abstract & Introduction

  • 本文比较了不同的PKI测量方式,比如扫描Alexa流行站点、扫描IPv4地址空间、搜索Censy数据集、查询CT记录,被动监视网络等,发现各有不足。Censys和CT记录两个数据集能覆盖99%以上的证书。
  • 同时研究发现不同的测量方式会影响相关的研究结果(比如受Freak攻击影响的网站数量)。

Certificate Perspectives

Towards a Complete View of the Certificate Ecosystem

Results

  • Certificate Transparency的局限性:只能覆盖90%的证书。
    • 部分CA不把自己的证书提交到CT。
    • 一些基于TLS的服务没有把证书提交到CT,比如mail、VPN等。

Towards a Complete View of the Certificate Ecosystem

  • Censys的局限性:只能覆盖38%的证书。
    • 扫描不支持SNI,而有的CA签发的证书只能通过SNI访问,比如CloudFlare。
    • 很多证书不在公开的站点上使用,比如Let’s Encrypt签发的很多证书。
  • SNI的应用:
    • 扫描了3000w个域名,结果如表4.
    • Alexa前100w的网站,基于IP的扫描会漏掉27%的证书和65%的网站。
  • 被动流量监测:
    • 会包含IPv6的证书,822,338个IP地址里8.2%的是IPv6的地址,出现4,512个证书,仅218个没出现在别的数据集里。
    • Notary数据集里仅9.7%的链接没使用SNI。
    • 有3,805个证书在别的数据集里没见过,由于被动监测周期长,大部分是过期了的。

Towards a Complete View of the Certificate Ecosystem

对HTTPS研究的影响

Towards a Complete View of the Certificate Ecosystem

Towards a Complete View of the Certificate Ecosystem

原文链接:Towards a Complete View of the Certificate Ecosystem,转载请注明来源!

0