CA安全会提出伦敦协议 旨在减小“安全”的钓鱼网站

证书颁发机构们搞了个伦敦协议试图改进OV和EV证书，但浏览器厂商会支持吗？

伦敦协议是SSL行业如此独特的一个很好的例子。 不多有行业中的五家顶级公司汇集在一块儿，试图解决他们销售的产品的问题。但在近日，Comodo，Entrust，GlobalSign，GoDaddy和Trustwave经过CA安全委员会联合起来支持伦敦协议 - 一项改进身份证书（OV和EV SSL）的正式计划。（是的，就是以前DigiCert由于不支持而干脆退出CA论坛的计划）。在7月初的证书颁发机构/浏览器论坛（CAB论坛）的伦敦面对面会议上，该倡议被正式提出并得名：伦敦协议。

做为Entrust的战略副总裁，Chris Bailey写道：

咱们行动的起源源于HashedOut的一份报告，指出“2016年1月1日至2017年3月6日期间，Let's Encrypt证书颁发机构共发布了包含”PayPal“字样的15,270个SSL证书。”这些Let的加密证书是发布给在其域名中使用“PayPal”名称欺骗在线用户发送其我的数据的坏人，换句话说，就是犯下身份盗用罪。 Let's Encrypt颁发的证书仅为域验证证书，这意味着它们能够发布到匿名网站，由于发布是100％自动化的。

伦敦协议因何而生？

山寨PayPal带着安全标记横行网络的事件仅是冰山一角，更多的钓鱼网站披着羊皮玩得风生水起。现在，不断存在的扩展验证SSL证书受到了威胁。部分缘由是因为在过去一年间发生的一系列事件，安全研究人员成功建立空壳公司、引导混乱并建了个和另外一公司冲突的EV名。

在一个例子中，Ian Carroll在肯塔基州建立了一家名为Stripe的公司，而后收到了一份与Stripe支付公司没法区分的扩展验证证书。 在另外一个例子中，James Burton建立了一家名为“Identity Verified”的公司，并得到了可能误导用户的EV证书。 两种证书都没有形成实际损害，若是两个例子都显示了网络钓鱼者得到EV证书所需的长度，基于平均每一个网络钓鱼站点被搁置大约15个小时。

Burton随后在Mozilla.Dev安全论坛上指出：

给EV的时间已经很少了，弃用EV是目前最呵护逻辑的可行解决方案。它将带领咱们向前迈进，消除过去破旧的Web安全框架。既然我和Ian都已经证实了EV的基本问题及其在UI中的显示方式，真正的网络钓鱼使用EV危害网络将只是时间问题。

尽管Burton的说法有些浮夸，但贬低EV的言论和作法早已在行业中风行。谷歌已经不会在Chrome手机上显示EV，而且已经尝试在Chrome桌面中删除EV的独特指示器 - 一般被称为绿色地址栏 - 而且目前有一个标志能够移除全部EV效果。 Apple可能会在其移动和桌面浏览器Safari的将来版本中作相似的事情。

但同时，钓鱼网站的威胁也没他说得那么夸张。至少从最近一个月的数据显示，只有0.05%的HTTPS网络钓鱼网站使用了EV证书。这代表EV钓鱼网站的言论被夸大了。

 

什么是伦敦协议？

“伦敦协议”是CA提出的对组织验证和扩展验证SSL证书进行改进的提案。 它要求签署的CA之间进行史无前例的协做，由于它们共享数据并努力使OV和EV更安全。

它的目标是：

...改进身份保证并最大限度地下降由OV（组织验证）和EV（扩展验证）证书（统称为“身份网站”）加密的网站上的网络钓鱼活动的可能性。 “伦敦议定书”增强了身份网站之间的区别，使得用户比使用DV（域验证）证书加密的网站更加安全。 而后，其余人能够利用该安全功能来实现其自身的安全目的，包括告知用户他们正在访问的网站类型以及反安全算法中的反钓鱼引擎和浏览器过滤器。

已签署的CA已赞成采起如下步骤：

1. 监控他们已向其销售OV或EV SSL证书的网站的网络钓鱼报告

2. 通知所述网站已发现网络钓鱼内容并提供补救说明

3. 贡献一个通用数据库，以帮助减小将来的网络钓鱼工做

该议定书目前计划分为四个阶段，从6月开始到2019年3月结束。

伦敦协议会有用吗？

在这一点上很难说。 坦率地说，这一切都取决于少数人的心血来潮 - 其中一些人表现出极大的不肯意进行这种讨论，这对他们来讲是一种“诅咒”。

伦敦协议并不是没有批评。 上个月，DigiCert拥有本身的同名CA，以及赛门铁克，GeoTrust，Thawte和RapidSSL，正式宣布退出CA Security，理由是对修复身份证书意见不合。

其实CA们有心这么作是好的，但它或许只能治标不能治本。身份证书，特别是扩展验证，须要超越售后市场网络钓鱼监控服务的合法改进。 如何协调验证和讨论在发生意外的状况下应该显示什么内容，无疑是一个挑战。

这些对话是必不可少的，若是Google和Apple的浏览器的高级版本有任何迹象，那么这些对话很快就会出现。但伦敦协议必需要有更详尽的计划来修复身份证书，而不只仅是个提议。若是没有来自浏览器社区的支持，一切都没有意义。但这是一个好的开始，但愿参与的CA展现的协做精神可以带来更大更好的东西。

【来自SSL中国】