這次 TURKTRUST 誤發 *.google.com
憑證被 Google 當初佈下的網子抓到:「Enhancing digital certificate security」。
首先是每次 CA 出問題後都會對目前的 PKI 提出質疑的文章 (像是「TURKTRUST Incident Raises Renewed Questions About CA System」),在沒有有效的方法可以取代目前的 PKI 前,都是吵一吵之後就沒有結論,所以先不管這個題目。
想要提出來的是 Google 這次抓到的機制:「Public Key Pinning Extension for HTTP」,目前狀態仍是 draft。不過 Google 在 Google Chrome 13 就已經實作一部分了,並且把一堆 domain 寫死進去:「View of /trunk/src/net/base/transport_security_state_static.json」,可以看到 Google 的 domain 只允許這些 CA 簽:
"name": "google", "static_spki_hashes": [ "VeriSignClass3", "VeriSignClass3_G3", "Google1024", "Google2048", "EquifaxSecureCA", "GeoTrustGlobal" ],
任何想要在太歲爺上動土的都會被抓包 XD
另外 Google Chrome 還是沒有 Certificate 相關的 API,目前只有 API Proposal 掛著:「webRequest SSL Hooks」,相較於 Firefox 有不少 extension 可以用,這方面 Google Chrome 就差了不少...
One thought on “這次 TURKTRUST 誤發 *.google.com SSL 憑證...”