2014 年 9 月 23 日
第 12 卷，第 8 期

HTTPS 市场的安全崩溃

评估保护 HTTPS 的法律和技术解决方案

Axel Arnbak，阿姆斯特丹大学

Hadi Asghari，代尔夫特理工大学

Michel van Eeten，代尔夫特理工大学

Nico van Eijk，阿姆斯特丹大学

HTTPS（安全超文本传输协议）已发展成为安全 Web 浏览的事实标准。通过基于证书的身份验证协议，Web 服务和互联网用户首先使用 TLS/SSL 证书相互验证身份（“握手”），对 Web 通信进行端到端加密，并在浏览器中显示挂锁，以指示通信是安全的。近年来，HTTPS 已成为保护在线社交、政治和经济活动的重要技术。

与此同时，广为报道的安全事件——例如 DigiNotar 的泄露、Apple 的 #gotofail 和 OpenSSL 的 Heartbleed——已向全球受众暴露了 HTTPS 的系统性安全漏洞。爱德华·斯诺登的爆料——尤其围绕 BULLRUN 行动、MUSCULAR 行动以及鲜为人知的 FLYING PIG 计划，该计划旨在大规模查询证书元数据——有力地证明了 HTTPS 既是政府黑客攻击和窃听的主要目标，也是互联网流量在全球网络中传输时对抗大规模内容监控的有效措施。简而言之，HTTPS 是一项绝对关键但存在根本缺陷的网络安全技术。

虽然 Heartbleed 事件揭示了 HTTPS 广泛使用的加密库（OpenSSL）中的严重缺陷，但本文的重点是 HTTPS 身份验证模型中先于端到端加密的系统性安全漏洞。尽管其中一些漏洞已经为人所知多年，但 2011 年荷兰小型证书颁发机构 (CA) DigiNotar 的安全漏洞是一个分水岭时刻，它在实际环境中演示了这些理论上的中间人漏洞。与此同时，Comodo 和 Verisign 等大型 CA 也经历了漏洞，但没有像 DigiNotar 那样遭受类似的后果。事实上，一些大型 CA 实际上从 HTTPS 不安全感增强中受益。

政策制定者和技术专家越来越提倡各种解决方案来解决 HTTPS 的安全崩溃问题。欧盟正在通过世界上首部关于 HTTPS 的综合立法的半途。它将在 28 个欧洲成员国的法律体系中获得立即的约束力。由于大多数大型 CA（也）在欧盟管辖范围内运营，因此该立法将对全球 HTTPS 治理产生影响。另一方面，在美国，注意力集中在技术解决方案和行业自我监管上。

为了评估法律和技术解决方案，了解 HTTPS 生态系统中利益相关者的经济激励，尤其是 CA 的经济激励至关重要。^2,3 本文概述了 HTTPS 的系统性漏洞，描绘了蓬勃发展的证书市场，并分析了大西洋两岸提出的监管和技术解决方案。调查结果显示了现有但令人惊讶的市场模式和不正当激励：与金融业不同，HTTPS 市场充斥着信息不对称和负外部性，因为少数 CA 占据市场主导地位，并已变得“大到不能倒”。不幸的是，拟议的欧盟立法将加强系统性漏洞，而拟议的技术解决方案远未得到大规模采用。这种关键技术中的系统性漏洞很可能在未来几年内持续存在。

HTTPS 身份验证模型中的系统性漏洞

本质上，HTTPS 是一个两步过程。首先，在网站和最终用户的浏览器之间建立信任关系（握手）。这是借助 TLS/SSL（传输层安全/安全套接字层）证书完成的，该证书包含用于身份验证目的的基本信息。如果 Web 浏览器信任证书和颁发 CA，则此身份验证握手成功。其次，成功的身份验证导致 Web 站点和浏览器之间的 TLS/SSL 加密通道，称为隧道。¹ 因此，握手身份验证充当 HTTPS 寻求交付的机密性和完整性的垫脚石。如果握手成功，则浏览器会通知用户，例如，通过描绘挂锁或绿色地址栏。如果 TLS/SSL 证书或颁发 CA 不可信，则浏览器将向最终用户显示安全警告。图 1 显示了描述的数据流。

想要向用户提供 HTTPS 通信的网站需要从 CA 获取 TLS/SSL 证书。基本上，这些证书是小型计算机文件，其中包含有关主机名（网站）、证书所有者（网站所有者）、证书颁发者 (CA)、有效期和公钥的信息。¹ 验证网站所有者身份的方法等因素驱动了证书的成本，并且是 DV（域名验证）、OV（组织验证）和 EV（扩展验证）证书之间的关键区别。²

Security Collapse in the HTTPS Market: HTTPS Authentication Data Flows

利益相关者

如图 1 所示，HTTPS 市场涉及四个核心利益相关者：网站所有者、证书颁发机构、Web 浏览器和最终用户。

网站所有者。网站所有者决定是否部署 HTTPS 以及如何在他们的服务器上安全地实施它。从最终用户的角度来看，部署是一件非此即彼的事情。过时的实施，只要浏览器接受它，看起来与最先进的实施类似。如果来自第三方网站的嵌入内容（例如，用于广告的跨网站行为跟踪）是网站所有者的收入模式的一部分，那么该运营商有强烈的动机根本不部署 HTTPS。部署和安全实施差异很大。³⁴

证书颁发机构。CA 出售 TLS/SSL 证书，证书分为三类：根证书、中间/ subordinate 证书和不受信任的证书。根 CA 在浏览器中默认受信任，前提是它们已向浏览器申请这种状态并遵守了不同的浏览器 CA 信任策略。中间/ subordinate CA 要么由一个根 CA 直接验证，要么是最终以一个根 CA 结尾的多个中间 CA 信任链的一部分。不受信任的 CA 的证书不是由链接到根 CA 的 CA 颁发的，而主要是由网站所有者自签名的。当网站向浏览器提供自签名证书时，会引发“不受信任的连接”安全警告。CA 的所有者包括跨国公司、民族国家、大学和黑客社区等不同的实体——任何人都可以相对容易地启动 CA 运营。

Web 浏览器供应商。这些供应商在 HTTPS 生态系统中发挥着关键作用。例如，他们决定是否固有地信任 CA，如何响应（疑似）CA 泄露，以及如何实施相关的信任撤销协议，例如 OCSP（在线证书状态协议）。多年来，各种浏览器开发了不同的证书策略，导致每个浏览器固有信任的根 CA 和中间 CA 的数量各不相同。^3,9

最终用户。由于他们的通信和有价值的信息受到威胁，最终用户有兴趣寻求与网站进行 HTTPS 通信，但在很大程度上取决于其他利益相关者做出的安全决策，并且对 HTTPS 的控制权非常小。^4,12

已知的 CA 泄露事件

DigiNotar。2011 年 9 月 2 日星期五，荷兰内政部部长举行了一场夜间新闻发布会，标志着 DigiNotar 事件的开始。该事件是由据报道于 2011 年 7 月中旬，一名同情伊朗政府的黑客非法访问 DigiNotar 的根 CA 能力而引发的。当三个月后泄露事件公开时，人们发现在此长期默默无闻的时期内，已为广泛使用和高度敏感的域名创建了 531 个虚假证书，例如 *.google.com、*.facebook.com、update.windows.com 和 *.cia.gov。¹⁶ DigiNotar 是全球市场上的一个小玩家，在荷兰电子政务服务的利基市场中占有强大的地位，它在所有主要浏览器供应商中都具有根状态，导致这些浏览器默认信任损坏的证书长达数月之久。

根据法证报告，30 个关键更新尚未执行，日志记录不足，并且入侵时未安装防病毒保护。¹⁷ 损失可能巨大，但由于日志文件的不可靠性，无法确定。ENISA（欧洲网络和信息安全机构）谈到“数百万公民”的通信遭到泄露，特别是与 *.google.com 证书相关的通信，并指出一些专家认为伊朗活动家的生命已受到威胁。¹² 泄露事件公布后，所有主要浏览器都撤销了对 DigiNotar 所有活动的信任。

Comodo。市场领先的 CA Comodo 的一系列泄露事件也受到了媒体的广泛关注。¹⁹ 最有据可查的泄露事件是 Comodo 的 UTN-USERFirst-Hardware 证书的泄露。根据 EFF（电子前沿基金会）SSL 观察站的数据，85,440 个公共 HTTPS 证书直接由 UTN-USERFirst-Hardware 签名，并且间接地，该证书已将权限委托给另外 50 个中间 CA。¹⁰

Verisign。另一家占主导地位的 CA Verisign 在 2010 年遭到黑客攻击。直到 2012 年 2 月才发现泄露事件，此前新的 SEC（证券交易委员会）法规强制公司将入侵事件通知投资者。路透社在报道其发现时引用了一位前 CTO 的话说，鉴于自攻击发生以来已经过去的时间以及 SEC 文件中含糊不清的语言，Verisign“可能无法准确评估”损失。¹²

Trustwave。Trustwave 利用其根 CA 状态，使第三方能够颁发 SSL 服务器证书，以监控员工。虽然通过子 CA 向私人实体提供中间人功能在技术上并未违反 HTTPS 信任模型，但它破坏了该模型。当最终用户未被告知监控时，尤其如此。Trustwave 声称，这在根 CA 中是一种常见的做法。⁷ 这说明了现实生活中的“强制 CA 攻击”：CA 处于独特的地位，可以对最终用户进行监视。³²

Steven B. Roosa 和 Stephen Schultze²⁹ 报告了其他几次泄露事件，包括 GlobalSign、KPN/Getronics、StartSSL 和 TurkTRUST。从已知的 CA 泄露事件中，浮现出几种模式。

HTTPS 身份验证模型的系统性漏洞

系统性漏洞一词指的是 HTTPS 生态系统中固有的漏洞，而不是在孤立事件期间在特定利益相关者身上发生的偶然漏洞。许多安全专家一致认为，由于这些漏洞，HTTPS 身份验证模型以及 HTTPS 生态系统的安全性存在系统性缺陷。¹

最薄弱的环节。HTTPS 身份验证模型的关键技术属性是任何 CA 都可以为任何域名签名证书。换句话说，实际上任何人都可以在世界上任何地方的任何 CA 请求 Google 域名的证书，即使 Google 本身已与一家特定的 CA 签订合同来签署其证书。CA 对颁发证书有一定的机构限制（例如，验证程序），但没有技术限制。如果从链接到浏览器信任的根 CA 的数百个中间 CA 之一获得第二个 google.com 证书，用户将收到熟悉的 HTTPS 通知（表示一切正常）。

虽然这种为任何域名签名的能力刺激了全球证书市场的蓬勃发展，但它对 HTTPS 生态系统的安全性产生了深远的影响，通常被称为最薄弱环节问题：如果一个 CA 遭受泄露，整个生态系统都会受到攻击。^12,29 失败的场景有很多，从 CA 泄露、错误配置和不当行为到国家强制。³²

信息不对称和无效的审计方案。反复出现的信息不对称是一个引人注目的系统性漏洞，使得其他利益相关者很难了解 CA 的安全性。欧盟目前的监管制度和全球范围内的审计义务已被证明无效。DigiNotar 的合格证书实践受到监管，并通过了基于国际公认行业标准的定期审计。监管和审计方案提供了感知的安全性并实现了责任转嫁。²⁹

责任转嫁。网站、浏览器和 CA 将安全漏洞造成的损害向下游推给最终用户。例如，CA 声明不对因不当颁发的证书造成的损失承担任何责任。^29,35 由于存在负外部性，责任转嫁是一种常见的做法，并且因提供错误的激励或实际的安全条款而受到广泛批评。^1,31 最终用户承担了这些安全漏洞和泄露事件的负担，即使大多数用户可能没有意识到这一点，并且不能合理地要求他们评估 HTTPS 身份验证模型中的安全实践。

描绘 HTTPS 市场

为了更好地理解这些系统性缺陷，彻底了解 HTTPS 的市场动态至关重要。¹ 只有根据此类数据驱动的调查结果，人们才能开始反思当前 HTTPS 生态系统中法律和技术干预的必要性。

几项研究调查了 SSL 证书市场。其中最大的两项是 2010 年的 EFF SSL 观察站和 2012-2014 年密歇根大学的 HTTPS 生态系统扫描。这两个项目都系统地扫描了整个 IPv4 地址空间，寻找面向公众的 HTTPS 服务器。他们检索了这些服务器提供的 SSL 证书，然后解析和验证它们，以确定不同的浏览器和操作系统是否会信任该证书。

在早期的一项研究³ 中，我们使用了 EFF 数据集，其中包含大约 150 万个受信任的证书，以实证确定 CA 的数量、拥有它们的公司、它们的市场份额和定价策略。我们将我们的研究结果与 HTTPS 生态系统扫描数据集进行了比较，该数据集包含大约 300 万个受信任的证书。Zakir Durumeric 等人⁹ 使用此数据集来分析 HTTPS 生态系统。虽然后一次扫描收集的证书比 EFF 数据集更多，但这种差异主要反映了 Web 上使用的证书数量随时间推移的线性增长模式，以及在有限程度上改进的扫描方法。如果将生态系统扫描数据中的增长趋势推断回 EFF 数据收集期，则证书数量相差 40 万个。尽管存在这些差异，但以下模式在两个数据集中都是一致的。

许多 CA。首先，可以颁发浏览器信任的证书的组织数量很多。受信任的 CA 在 1,000 到 2,000 个之间，包括根 CA 和中间 CA。多个 CA 可能由同一组织拥有，以满足各种运营和业务需求，因此颁发组织的数量较少。将 CA 映射到组织估计有 250 到 700 个受信任的证书颁发组织，位于全球 57 个国家/地区。异质性通常对生态系统有利，尤其是在弹性方面。然而，由于 HTTPS 系统的最薄弱环节性质，这也意味着在 CA 泄露或错误配置的情况下，存在更多的单点故障。尤其令人担忧的是，许多受信任的 CA 由专制政府以及其他不太值得信任的机构运营。他们的 CA 可以为世界上任何网站颁发证书，并且所有互联网用户的浏览器都会接受它为可信的。

HTTPS 市场集中度高。其次，尽管发行人的数量很多，但 SSL 证书市场高度集中。事实上，两个数据集都发现，公共 Web 上使用的约 75% 的 SSL 证书仅由三家公司颁发：Symantec、GoDaddy 和 Comodo。最大的商业 CA Symantec 拥有多个品牌，包括 Verisign、GeoTrust、Thawte、RapidSSL 和 TC TrustCenter。分布严重倾斜，较小的 CA 在公共互联网上几乎没有或根本没有存在感。虽然在互联网服务市场中，幂律分布并不令人意外，但它对 HTTPS 生态系统构成了重大风险：如果大型 CA 之一被泄露，则浏览器供应商无法撤销其根状态，而不会造成大规模的附带损害。GoDaddy 的一个特定 CA 在 2013 年 3 月签署了所有有效 HTTPS 证书的 26%。这意味着如果它被泄露，则依赖 HTTPS 的所有网站中有 26% 需要立即颁发新证书。⁹ 否则，浏览器应该显示证书警告或阻止访问这些站点，从而对用户在访问和安全之间造成不可能的权衡。换句话说，如此大型的 CA 确实是“大到不能倒”。

Security Collapse in the HTTPS Market: Price and Market Share of DV Certificates

价格竞争薄弱。描绘不同证书品牌的价格可以了解市场受价格竞争支配的程度。图 2 显示了 DV 证书产品的价格和市场份额。Symantec/GeoTrust 证书（例如，QuickSSL Premium）的售价为 149 美元，但其市场份额远高于售价为 16 美元的 Gandi SSL 证书。OV 和 EV 市场显示出类似的动态，如表 1 所示。

Security Collapse in the HTTPS Market: Price ranges of different certificates

如图 3 所示，EV 市场的情况非常极端。市场领导者 Verisign 以约 1,000 美元的价格出售证书，市场份额为 63%。GoDaddy 以其价格的一小部分（100 美元）提供证书，仅占有 5% 的市场份额。（这些比较有一定的局限性，最值得注意的是价格是供应商在 2013 年 3 月宣传的价格，而市场份额来自 EFF 2010 年数据集。³ 更新和纵向的 HTTPS 生态系统扫描数据显示，随着时间的推移，类似的市场份额仍然存在，Symantec 的市场份额略微转移到更便宜的供应商。）这些差异非常有趣，因为证书本身是完美的替代品（在每个验证类别中）。这些差异可以用与证书捆绑的功能来解释，这将在下一节中讨论。总而言之：SSL 市场几乎没有显示出激烈的价格竞争迹象。

Security Collapse in the HTTPS Market: Price and market share of EV certificates

HTTPS 市场激励分析

各种研究人员和行业观察家声称，HTTPS 市场中存在“逐底竞争”：一个由激烈的竞争主导的市场，将价格推向边际成本，并对安全产生不正当的激励。^1,31 有些人指出，这是 DigiNotar 和其他被泄露的 CA 安全实践不佳的原因。^20,26,29,35

人们确实会期望出现这样的竞争。证书是完美的替代品，表明市场完全商品化。此外，买家无法有意义地区分安全产品和不太安全的产品；即使他们可以，从更安全的 CA 购买也无法保护网站所有者免受攻击者使用来自泄露的 CA 的证书欺诈性地签署域名的威胁。

然而，经验数据清楚地表明情况并非如此，它显示了市场集中度和几乎没有价格竞争。从某种意义上说，鉴于与这种竞争相关的不正当安全激励，市场没有受到逐底竞争的驱动，这是一个好消息。然而，HTTPS 市场的驱动因素不是证书本身，而是：³

• 捆绑的安全服务，例如扫描买家的网站以查找恶意软件。

• 企业证书管理服务，例如支持管理和计费大量证书。

• 品牌声誉，作为针对股东、监管机构或其他可能在面临安全问题时追究买方责任的人的责任盾牌。

• 针对第三方和最终用户的信任或安全信号，例如站点印章、保证金额和证书本身的高价格。

• 由于市场领先的 CA 的大到不能倒的动态，在 CA 发生安全故障时具有更高的连续性。

知识渊博的买家了解，这个市场的安全性是一个最薄弱环节问题，因此由最薄弱的 CA 决定。他们也明白，四大市场领导者中有三家近年来遭到黑客攻击，并且这些服务的一些“安全”功能实际上并没有提供实际的安全性。尽管如此，鉴于责任盾牌和更高的连续性，从市场领导者那里购买仍然是合理的。价格差异不足以推翻这些优势。与大型公司中的其他成本构成部分相比，它们在相对意义上可能很大，但在绝对意义上是适度的。

鉴于市场领导者通过安全相关功能等成功地对其产品进行差异化，买家似乎愿意为安全付费。然而，正如前面提到的，两个经典问题会影响激励措施的正确调整

• 信息不对称阻止买家了解 CA 的真实情况。买家为感知的安全性、责任盾牌以及对第三方的信任信号付费。这些都不能可靠地与实际安全性相关联。鉴于 CA 安全性在很大程度上是不可观察的，买家对安全性的需求不一定会转化为 CA 的强大安全激励。

• 系统最薄弱环节安全性的负外部性加剧了这些激励问题。单个 CA 的失败会影响整个生态系统，而不仅仅是该 CA 的客户。在所有其他条件相同的情况下，这些相互依赖性削弱了 CA 投资的动力，因为其客户的安全性取决于所有其他 CA 的努力。

最强大的安全激励似乎是声誉效应，但这并不一定使他们对泄露事件造成的声誉损害更加敏感。虽然与较小的品牌相比，他们有更多的损失，但大型 CA 受最终声誉效应的威胁较小：从根存储中删除。

具有讽刺意味的是，过去几年困扰 HTTPS 生态系统的安全问题，包括市场领导者的泄露事件，实际上可能会使这些市场领导者受益。泄露事件增加了对安全性的需求，而这种需求似乎依附于任何可用的安全信号，而不管它们与实际安全性的关系如何。所有这些都可能影响修复系统系统漏洞的尝试。主要参与者可能不情愿——或不太热衷于——推动采用拟议的技术解决方案之一。这并不是暗示市场领导者会采取反对行动，而是现状对他们来说运作良好。

改进 HTTPS 治理

在这些 CA 泄露事件之后，政策制定者和技术专家提出了监管和技术解决方案，以解决 HTTPS 的系统性漏洞。让我们根据市场激励分析来评估这些解决方案。

监管解决方案

HTTPS 身份验证模型在很大程度上在美国和欧盟都未受到监管。这种情况在不久的将来注定会改变。这两个实体选择了完全不同的方法：美国优先考虑技术解决方案，并在此期间让行业进行自我监管。另一方面，欧盟委员会（欧盟的执行部门）于 2012 年 6 月提出了电子身份识别和信任服务法规。与更常见的需要在国家法律中实施的欧盟指令不同，法规在布鲁塞尔通过后，在所有欧盟成员国中获得直接的法律约束力。2014 年 4 月，欧洲议会通过了委员会的提案，并进行了实质性修正，仅留待欧盟理事会（欧盟国家政府）批准该法规。

本节概述了欧盟提案¹³的范围、基本价值观、安全要求、安全漏洞通知要求和责任制度，以及 Mozilla 最近提出的“信任链透明度”提案。^2,3

范围。欧盟提案监管信任服务提供商，包括 CA。¹³ 所有主要 CA 似乎都属于美国和欧盟的管辖范围。³ 虽然监管本质上是本地的，但它可能是一种有效的工具，可以解决观察到的市场失灵并积极影响全球 HTTPS 安全。然而，HTTPS 生态系统中的其他关键利益相关者，例如浏览器供应商和网站运营商，在该提案中仍然不受监管。这种有限的范围极大地影响了拟议的安全措施。

基本价值观。欧盟提案侧重于可用性利益，以提高对电子商务的信任，而忽略了与已概述的系统性 HTTPS 漏洞相关的机密性和完整性问题。除了未能遵守《欧盟基本权利宪章》规定的隐私和通信保密义务外，该提案完全忽略了斯诺登的爆料。BULLRUN 和 MUSCULAR 披露事件已经明确表明，HTTPS 显着提高了大规模拖网式监控的成本，并且一直是情报机构颠覆的主要目标。大型互联网公司现在已经开始或加速努力，使用 TLS 加密与用户以及他们自己的网络之间的通信路径。2014 年 4 月的欧洲议会修正案不仅忽略了这些发展，而且还明确指出，HTTPS 条款对 Web 服务是“完全自愿的”（序言 67）。

安全要求。欧盟提案为 CA 引入了采用安全要求的新义务。它们的详细信息将由欧盟委员会在所谓的实施法案中确定。虽然这种向执行部门的授权提供了一些灵活性，以使要求适应新的技术发展，但欧盟提案未能明确监管优先事项或基本价值观。此外，2014 年 4 月的议会修正案明确指出，“行业主导的倡议（例如，CA/浏览器论坛）”会影响此类要求（序言 67）。在一个旨在解决 CA 安全实践失败的法律中，将 CA 行业集团命名为有影响力，这表明了市场主导者的控制。

SBN（安全漏洞通知）。理论上，SBN 有助于最大限度地减少漏洞发生后的损害，并为组织预先投资信息安全提供激励。欧盟提案引入了 SBN 制度，规定如果漏洞“具有重大影响”，则需要在“24 小时内”通知相关部门，该概念在法律中未定义。当漏洞损害“公共利益”（也未定义）时，公众会被告知。同样，欧盟委员会将确定这些细节，但议会提案指出，CA 应接受“轻触和被动的事后监督活动”，并且“没有一般义务监督非合格服务提供商”（即，为 HTTPS 提供证书的 CA）。

上述信息不对称和 CA 漏洞使得对通知采取严格制度是合理的——例如，默认情况下应公开哪些类型的漏洞。此外，美国 SBN 立法的经验表明，SBN 需要辅之以惩罚性（例如，制裁和责任制度）和主动执法（例如，作为年度报告的一部分），以创建真正的通知激励——并避免不那么善意的公司不遵守。^1,31 此外，声誉损失可能不会影响主要 CA，因为它们没有因不报告而面临被逐出根存储的风险。报告不仅是漏洞，而且是导致漏洞的漏洞，这将是向前迈出的重要一步，负责任的披露方案也是如此。这些经验教训未包含在欧盟提案或考虑因素中。此外，议会通过强制执行轻触和事后监督，进一步削弱了 SBN 制度。同样，这些修正案表明监管过程被主要 CA 捕获。

责任。正如已经观察到的，HTTPS 生态系统中的责任因安全漏洞而被免除，并通过条款和条件转移给最终用户。2012 年欧盟委员会的提案试图通过对 CA 施加严格的责任制度来解决这种责任转嫁问题，CA 应对“任何直接损害”承担责任，CA 承担证明他们以非疏忽方式处理情况的责任。2014 年议会修正案推翻了这种举证责任；客户和用户现在必须在漏洞发生后证明 CA 的恶意意图或疏忽。此外，允许 CA 在其条款和条件中将责任转移给最终用户。令人惊讶的是，议会明确地编纂了责任转嫁。同样，在欧盟议会中也发现了监管捕获的痕迹。

HTTPS 的最薄弱环节问题通过责任制度创造了更根本的问题：小型 CA 将无法与处理大量敏感数据的大型公司开展业务。以 DigiNotar 为例，其年度预算为数百万美元；它永远无法弥补在其安全漏洞期间为 Google、Facebook、Skype、cia.gov 等颁发的流氓证书造成的损失。聪明的 CA 将通过创建承担全部责任并可以轻松申请破产的子公司来规避责任。事实上，DigiNotar 在漏洞发生后迅速破产，而其母公司 Vasco 却安然无恙。

解决责任制度的根本问题需要精心制定的政策或广泛的执法授权。责任应与安全要求相匹配，并分配给所有利益相关者：域名所有者应有动力通过提供和实施 HTTPS 来保护其资产²，而浏览器应加强其 CA 策略（稍后讨论）。欧盟委员会未能考虑这些根本性的缺陷，而议会修正案通过编纂责任转嫁和推翻举证责任使情况变得更糟。

信任链透明度。与欧盟提案无关，Mozilla 提出了所谓的“信任链透明度”。如前所述，在没有透明度的情况下，人们无法确保 HTTPS 通信不会受到系统性但未被注意到的监视³²，但如今，它才刚刚通过各种（研究）项目开始出现，例如 Firefox 的浏览器插件 CertPatrol。

在最近对其 CA 策略的修订中，Mozilla 要求 subordinate CA 证书“要么在技术上受到约束，要么公开披露和审计”。²⁷ 换句话说，subordinate CA 必须受到约束，仅为一小部分域名（例如，内部网络）颁发证书，否则其信任链必须公开披露和审计。目的是使 subordinate CA 达到与根 CA 相似的标准，并使根 CA 对其签署的所有子证书负责。现有的 subordinate CA 证书被给予宽限期到 2014 年 5 月 15 日以符合要求，因此现在观察 Mozilla 如何强制执行不合规性还为时过早。尽管如此，信任链透明度至少值得考虑，并且从理论角度来看，值得在整个 HTTPS 生态系统中鼓励。³⁰ 到目前为止，它还没有成为任何监管提案的一部分。

技术解决方案

针对当前系统的系统性漏洞，正在开发大量技术解决方案。其中最突出的是 Convergence⁸、Perspectives²⁸、DANE¹⁸、Sovereign Keys¹¹、证书透明度^6,23、公钥固定¹⁴ 和 TACK^24,33。从治理的角度来看，我们可以进行几点一般性观察

• 所有提案都试图通过引入另一个权威机构来检查通过正常 HTTPS 流程验证的证书是否确实是正确的证书来解决最薄弱环节问题。

• 所有提案都通过系统地揭露可疑证书来减少买家和用户与 CA 之间的信息不对称。

• 所有提案都可以在当前 CA 系统之上运行，使其保持原位或依赖它；一部分也可以替换它。

• 所有提案都可以遵循增量采用路径（尽管有些提案比其他提案困难得多），并且所有提案都需要浏览器的支持。

这些解决方案都远未达到大规模应用。即便如此，它们在解决当前弱点方面似乎很有希望，特别是对于最薄弱环节问题，监管解决方案似乎对此无效。因此，从长远来看，它们更受欢迎，评估它们与 HTTPS 利益相关者的激励机制有何关系是相关的。一些学者预测，最终将采用多种方案。⁵

正如之前论证的那样，不安全的现状可能对市场领导者有利。鉴于此，人们可能会认为 CA 并不特别热衷于积极帮助推进任何这些方案，特别是那些理论上可能使其过时的方案。然而，在实践中，一些 CA 参与了潜在解决方案的开发——例如，DigiCert 和 Comodo 正在试验证书透明度。²¹ 其他提案需要域名所有者进行重要的活动，这可以由他们的 CA 作为对当前商业模式的补充服务来完成。

此外，每个提案都与浏览器性能密切相关地进行辩论。任何形式的大规模采用都需要浏览器供应商的默认支持。谷歌和 Mozilla 在这一领域尤其活跃。

虽然这些解决方案都不易于扩展，但早期采用者会受益，这是任何解决方案取得成功的关键要求。成本是否值得取决于 HTTPS 利益相关者希望防御何种威胁。普通的网络犯罪分子可能对入侵 CA 和操纵已通过 HTTPS 加密的网络流量不感兴趣，因为通过更具成本效益的攻击可以获得经济上更具吸引力的信息。^15,22 从之前的漏洞来看，国家支持的攻击者和大型企业，而不是以利润为驱动的罪犯，更有可能参与 HTTPS 领域的复杂中间人攻击。对于某些用户群体和领域，这样的对手使早期采用具有吸引力。

结论

近期 CA 发生的漏洞暴露了当前 HTTPS 身份验证模型中固有的几个系统性漏洞和市场失灵：如果数百个 CA 中的任何一个被攻破（最薄弱环节），整个生态系统的安全性就会受到影响；浏览器无法撤销对主要 CA 的信任（“大到不能倒”）；CA 设法隐瞒安全事件（信息不对称）；最终，客户和最终用户承担安全事件的责任和损失（负外部性）。

了解 HTTPS 的市场和价值链对于解决这些系统性漏洞至关重要。市场高度集中，供应商之间的价格差异很大，价格竞争有限。矛盾的是，当前的漏洞反而对占主导地位的 CA 有利，因为除其他外，它们“大到不能倒”。

在解决方案方面，欧盟选择了监管回应，而美国则倾向于行业自我监管和技术解决方案。总的来说，技术解决方案旨在解决 HTTPS 生态系统中最薄弱环节的安全问题。一些提案很有希望，但没有一个接近大规模应用。行业自我监管只是加剧了市场失灵，而不是解决它们。

拟议的欧盟法规没有考虑所有利益相关者在 HTTPS 生态系统中的作用，因此通过对市场领先的 CA 产生新的长期制度依赖性，从而加强了系统性漏洞。2014 年 4 月欧盟议会的修正案使情况变得更糟。欧盟议会似乎已被 CA 的游说努力成功俘获。

尽管发生了 CA 漏洞等重大网络安全事件，甚至斯诺登事件的曝光，但似乎并没有紧迫感来保护 HTTPS 的安全。就目前情况而言，主要的 CA 继续照常营业。在可预见的未来，一个从根本上有缺陷的身份验证模型仍然是每秒钟、每天、每个互联网用户都在使用的绝对关键技术的基础。在大西洋两岸，人们不禁要问，网络安全治理的真正意义是什么。

致谢

对于灵感和评论，作者要感谢：Bernhard Amann、Ian Brown、Peter Eckersley、Edward Felten、Sharon Goldberg、Joris van Hoboken、Ralph Holz、Chris Hoofnagle、Kees Keuzenkamp、Samad Khatibi、Arman Noroozian、Bruce Schneier、Stephen Schultze、Christopher Soghoian、Sid Stamm、Marcelo Thompson，以及 TPRC 2012、WEIS 2013、2014 年春季在伯克曼中心举办的两次研讨会、29c3、2013 年 1 月加州大学伯克利分校 TRUST 研讨会以及 2013 年 2 月香港大学法律与科技讲座的参与者。作者对本文全权负责。

参考文献

1. Anderson, R.J. 2008. 安全工程：构建可靠分布式系统指南。 Wiley.

2. Arnbak, A., van Eijk, N. 2012. 证书颁发机构崩溃：监管 HTTPS 价值链中的系统性漏洞。TPRC（通信、信息和互联网政策研究会议）；http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2031409.

3. Asghari, H., van Eeten, M.J., Arnbak, A.M., van Eijk, N.A. 2013. HTTPS 价值链中的安全经济学；http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2277806.

4. Bakos, Y., Marotta-Wurgler, F., Trossen, D. 2009. 有人读过细则吗？检验法律和经济学方法在标准格式合同中的应用。第四届年度实证法学研究会议。

5. Bonneau, J. 2013. 修复 HTTPS：传输安全策略分发的新模型。信息技术政策中心 (CITP) 研讨会；https://docs.google.com/presentation/d/1dxWwKUOVjO1MnOJQkyxCS03VfFp_kmPeAmneJ9KLd-M/edit?usp=sharing.

6. 证书透明度。2012; http://www.certificate-transparency.org/.

7. Constantin, L. 2012. Trustwave 承认颁发中间人数字证书；Mozilla 辩论惩罚。《计算机世界》（2 月 8 日）；http://www.computerworld.com/s/article/9224082/Trustwave_admits_issuing_man_in_the_middle_digital_certificate_Mozilla_debates_punishment.

8. Convergence。2011; http://convergence.io/details.html.

9. Durumeric, Z., Kasten, J., Bailey, M., Halderman, J.A. 2013. HTTPS 证书生态系统分析。互联网测量会议。

10. Eckersley, P. 2011. 伊朗黑客获得欺诈性 HTTPS 证书：我们离 Web 安全崩溃有多近？电子前沿基金会；https://www.eff.org/deeplinks/2011/03/iranian-hackers-obtain-fraudulent-https.

11. 电子前沿基金会。2011. 主权密钥项目；https://www.eff.org/sovereign-keys.

12. ENISA。2011. 黑郁金香行动：证书颁发机构失去权威，第 2 版（12 月）；http://www.enisa.europa.eu/media/news-items/operation-black-tulip.

13. 欧盟。2014. 内部市场电子交易的电子身份识别和信任服务。修订提案，2012/0146(COD), A7-0365/201; http://www.europarl.europa.eu/sides/getDoc.do?type=TA&language=EN&reference=P7-TA-2014-0282#title3.

14. Evans, C., Palmer, C, Sleevi, R. 2012. HTTP 的公钥钉扎扩展。互联网工程任务组；http://tools.ietf.org/html/draft-ietf-websec-key-pinning-04.

15. Florêncio, D., Herley, C. 2011. 所有攻击都去哪儿了？信息安全经济学研讨会 (WEIS)；http://research.microsoft.com/pubs/149885/WhereDoAllTheAttacksGo.pdf.

16. Fox-IT。2011. DigiNotar 证书颁发机构漏洞（9 月 5 日）；http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html.

17. Fox-IT。2012. 黑郁金香 - DigiNotar 证书颁发机构漏洞调查报告；http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2012/08/13/black-tulip-update.html.

18. Hoffman, P. 2012. 基于 DNS 的命名实体身份验证 (DANE)，传输层安全 (TLS) 协议：TLSA。IETF，RFC 6698；http://tools.ietf.org/html/rfc6698.

19. InfoSecurity。2011. Comodo 承认另外两个注册机构被黑客入侵；http://www.infosecurity-magazine.com/view/16986/comodo-admits-two-more-registration-authorities-hacked.

20. Kelkman, O.M. 2013. DNSSEC 沉思：DigiNotar、DANE 和部署。NLnet Labs；http://conference.apnic.net/__data/assets/pdf_file/0005/58901/dnssec-diginotar-dane_1361864377.pdf.

21. Langley, A. 2012. 证书透明度。ImperialViolet；http://www.imperialviolet.org/2012/11/06/certtrans.html.

22. Langley, A. 2013. 真实世界密码学 2013。ImperialViolet；http://www.imperialviolet.org/2013/01/13/rwc03.html.

23. Laurie, B., Langley, M., Kasper, E. 2013. 证书透明度。互联网工程任务组；http://tools.ietf.org/html/draft-laurie-pki-sunlight-12.

24. Marlinspike, M., Perrin, T., ed. 2013. 证书密钥的信任断言。互联网工程任务组；http://tools.ietf.org/html/draft-perrin-tls-tack-02.

25. Menn, J. 2012. 主要互联网运营商 VeriSign 遭受黑客攻击。路透社（2 月 2 日）；http://www.reuters.com/article/2012/02/02/us-hacking-verisign-idUSTRE8110Z820120202.

26. Mills, E. 2011. 伊朗的谷歌用户成为 SSL 欺骗的目标。CNET（8 月 30 日）；http://news.cnet.com/8301-27080_3-20099421-245/google-users-in-iran-targeted-in-ssl-spoof/.

27. Mozilla。2013. Mozilla CA 证书策略，版本 2.2（2 月 14 日）；http://www.mozilla.org/projects/security/certs/policy/.

28. Perspectives Project。2011. 什么是 Perspectives？；http://perspectives-project.org/.

29. Roosa, S.B., Schultze, S. 2010. SSL 的“证书颁发机构”信任模型：加密 Web 流量的缺陷基础和法律泥潭。《知识产权与技术法杂志》22(11): 3-8。

30. Roosa, S.B., Schultze, S. 2013. 信任暗网：互联网证书颁发机构模型中的控制和妥协；http://ssrn.com/abstract=2249042.

31. Shapiro, C., Varian, H. 1998. 信息规则。哈佛商学院出版社。

32. Soghoian, C. Stamm, S. 2012. 认证的谎言：检测和击败政府对 SSL 的拦截攻击。在金融密码学和数据安全中。施普林格：250-259。

33. TACK。TACK，用于钉扎。2012; http://tack.io/.

34. Trustworthy Internet Movement。2014. SSL Pulse。最受欢迎的网站 SSL 实施调查；https://www.trustworthyinternet.org/ssl-pulse/.

35. Vratonjic, N., Freudiger, J., Bindschaedler, V., Hubaux, J.-P. 2011. 关于 Web 证书的不方便的真相。信息安全经济学研讨会 (WEIS) (Fairfax, VA)。

喜欢它，讨厌它？请告诉我们

[email protected]

Axel Arnbak 是阿姆斯特丹大学的网络安全和信息法研究员，也是伯克曼中心（哈佛大学）和 CITP（普林斯顿大学）的研究员。出版物和完整生物信息请访问：https://www.axelarnbak.nl/bio/。

Hadi Asghari 是代尔夫特理工大学技术、政策和管理学院网络安全经济学研究员。出版物和完整生物信息请访问：http://member.acm.org/~hasghari。

Michel van Eeten 是代尔夫特理工大学技术、政策和管理学院网络安全治理教授。出版物和完整生物信息请访问：www.tbm.tudelft.nl/econsec。

Nico van Eijk 是媒体和电信法教授，也是信息法研究所（IViR，阿姆斯特丹大学法学院）主任。出版物和完整生物信息请访问：http://www.ivir.nl/staff/vaneijk.html。

最初发表于 Queue vol. 12, no. 8—
在数字图书馆中评论本文

更多相关文章

Paul Vixie - 要么静态，要么回家
当前和历史上计算机和网络安全中的大多数问题都归结为一个简单的观察：让其他人控制我们的设备对我们不利。在另一个时间，我将解释“其他人”和“不利”的含义。就本文而言，我将完全专注于我所说的控制。我们失去对设备控制的一种方式是外部分布式拒绝服务 (DDoS) 攻击，它用不需要的流量填充网络，不给真实（“需要”）的流量留下空间。其他形式的 DDoS 类似：例如，低轨道离子炮 (LOIC) 的攻击可能不会完全填满网络，但它可以使 Web 服务器忙于响应无用的攻击请求，以至于服务器无法响应任何有用的客户请求。

Sharon Goldberg - 为什么保护互联网路由需要这么长时间？
BGP（边界网关协议）是将互联网粘合在一起的粘合剂，使不同组织运营的大型网络之间能够进行数据通信。BGP 通过为组织之间的流量设置路由来使互联网通信全球化——例如，从波士顿大学的网络，通过更大的 ISP（互联网服务提供商），如 Level3、巴基斯坦电信和中国电信，然后到住宅网络，如 Comcast 或企业网络，如美国银行。

Ben Laurie - 证书透明度
2011 年 8 月 28 日，一个为 google.com 错误颁发的通配符 HTTPS 证书被用于对伊朗的多名用户进行中间人攻击。该证书由一家名为 DigiNotar 的荷兰 CA（证书颁发机构）颁发，DigiNotar 是 VASCO Data Security International 的子公司。后来的分析表明，DigiNotar 早在一个多月前——至少从 7 月 19 日起，就已意识到其系统中的漏洞。它还表明，至少颁发了 531 个欺诈性证书。最终计数可能永远不会知道，因为 DigiNotar 没有所有错误颁发的证书的记录。

Christoph Kern - 保护错综复杂的网络
脚本注入漏洞是 Web 应用程序开发的祸根：原因和补救措施看似简单，但在大规模 Web 开发中却出奇地难以预防。