【译文】浏览器中不可信的 TLS 证书

主要的浏览器原生信任一大堆证书颁发机构,其中有些非常不可靠

谷歌的 Chrome 浏览器、苹果的 Safari、非盈利的 Firefox 和其他浏览器都允许 TrustCor Systems 公司充当所谓的根证书颁发机构,这是互联网基础设施中的一个重要位置,它可以保证网站不是假冒的,并引导用户无缝访问这些网站。

该公司在巴拿马的注册记录显示,该公司拥有与今年被确认为亚利桑那州 Packet Forensics 公司关联公司的间谍软件制造商完全相同的管理人员、代理和合作伙伴,该公司的公共合同记录和公司文件显示,十多年来,该公司一直向美国政府机构出售通信拦截服务。

[…]

在早前的间谍软件事件中,卡尔加里大学的研究人员乔尔-里尔登(Joel Reardon)和加州大学伯克利分校的塞尔日-埃格尔曼(Serge Egelman)发现,一家巴拿马公司 Measurement Systems 一直在付钱给开发人员,让他们在各种无害的应用程序中加入代码,以记录和传输用户的电话号码、电子邮件地址和确切位置。据他们估计,这些应用程序被下载了 6000 多万次,其中包括 1000 万次下载穆斯林祈祷应用程序。

根据域名历史记录,Measurement Systems 的网站由 Vostrom Holdings 注册。根据弗吉尼亚州的记录,Vostrom 于 2007 年提交文件,以 Packet Forensics 的名义开展业务。另一份州档案显示,Measurement Systems 是由 Saulino 在弗吉尼亚州注册的。

Reardon 提供了更多详细信息

科里-多克托罗(Cory Doctorow)很好地解释了背景和一般安全问题。

修改补充(11/10):Slashdot 讨论

本文文字及图片出自 An Untrustworthy TLS Certificate in Browsers

你也许感兴趣的:

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注