域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

為了應(yīng)對(duì)冠狀病毒在世界各地的傳播，許多組織部署了VPN解決方案，包括Fortigate VPN，以允許雇主在家工作。VPN解決方案的配置對(duì)于保證組織的安全和避免危險(xiǎn)的意外非常重要。

根據(jù)網(wǎng)絡(luò)安全平臺(tái)提供商SAM Seamless Network統(tǒng)計(jì)，超過(guò)20萬(wàn)個(gè)企業(yè)已經(jīng)部署了具有默認(rèn)設(shè)置的Fortigate VPN解決方案。這種選擇允許攻擊者提供有效的SSL證書，并對(duì)員工的連接執(zhí)行中間人（MitM）攻擊。

“令人驚訝（或者不是？），我們很快發(fā)現(xiàn)，在默認(rèn)配置下，sslvpn沒(méi)有得到應(yīng)有的保護(hù)，很容易受到MITM攻擊。Fortigate SSL-VPN客戶端只驗(yàn)證CA是由Fortigate（或其他受信任的CA）頒發(fā)的，因此攻擊者可以輕松地將頒發(fā)給不同F(xiàn)ortigate路由器的證書呈現(xiàn)出來(lái)，而無(wú)需升起任何標(biāo)志，并實(shí)施中間人攻擊。我們?cè)趲追昼妰?nèi)搜索并找到了20多萬(wàn)家易受攻擊的企業(yè)。”

專家指出，F(xiàn)ortigate SSL-VPN客戶端只驗(yàn)證CA是由Fortigate或另一個(gè)可信CA頒發(fā)的，這使得攻擊者可以出示頒發(fā)給不同F(xiàn)ortigate路由器的證書來(lái)實(shí)施中間人攻擊。

主要問(wèn)題與自簽名SSL證書有關(guān)

Fortigate路由器附帶一個(gè)由Fortinet簽名的默認(rèn)SSL證書，這是一個(gè)自簽名證書，其中包含路由器的序列號(hào)作為證書的服務(wù)器名稱。

什么是自簽名SSL證書？

自簽名SSL證書，一般是指由不受信任的任意機(jī)構(gòu)或個(gè)人，使用工具自己簽發(fā)的SSL證書。天威誠(chéng)信提醒您這些不受信任的機(jī)構(gòu)和個(gè)人因?yàn)椴皇苋魏蔚谌降谋O(jiān)督和審核，所以可以隨意簽發(fā)自簽名SSL證書，但其簽發(fā)的SSL證書也不被瀏覽器和操作系統(tǒng)所信任，所以經(jīng)常被不法分子用于偽造證書進(jìn)行中間人攻擊。

自簽名SSL證書容易被假冒和偽造

因?yàn)樽院灻鸖SL證書是可以隨意簽發(fā)的，如果你的網(wǎng)站使用的是自簽名SSL證書，那不法分子完全可以通過(guò)偽造一張相同的自簽名證書，用于制作假冒釣魚網(wǎng)站，這使得網(wǎng)站用戶無(wú)法分辨出真假網(wǎng)站，上當(dāng)受騙。

而第三方權(quán)威機(jī)構(gòu)在簽發(fā)SSL證書時(shí)，需要對(duì)申請(qǐng)企業(yè)的真實(shí)身份進(jìn)行驗(yàn)證，不存在隨意簽發(fā)SSL證書的現(xiàn)象，不法分子難以偽造假冒。而部署了受信任的SSL證書的網(wǎng)站，用戶在訪問(wèn)網(wǎng)站時(shí)瀏覽器便會(huì)識(shí)別SSL證書的真實(shí)信息和證書狀態(tài)，天威誠(chéng)信表示如果網(wǎng)站SSL證書配置的域名與實(shí)際的域名不符，或者出現(xiàn)證書已過(guò)期等其它情況時(shí)，瀏覽器都會(huì)提醒用戶“此網(wǎng)站安全證書存在問(wèn)題”進(jìn)行警告，令假冒網(wǎng)站無(wú)處藏身！

專家強(qiáng)調(diào)，F(xiàn)ortinet的客戶端根本不驗(yàn)證服務(wù)器名稱，這意味著任何由Fortinet或任何其他可信CA頒發(fā)的證書都將被接受。攻擊者可以將流量重新路由到其服務(wù)器，顯示自己的證書，然后在攻擊的視頻PoC下解密流量。

不幸的是，F(xiàn)ortinet沒(méi)有解決該漏洞的計(jì)劃，它建議用戶手動(dòng)替換默認(rèn)證書，并確保連接不受MitM攻擊。

目前，當(dāng)用戶使用默認(rèn)證書時(shí)，F(xiàn)ortinet會(huì)發(fā)出警告。

“您使用的是默認(rèn)的內(nèi)置證書，它將無(wú)法驗(yàn)證服務(wù)器的域名（您的用戶將看到一個(gè)警告）。建議您為您的域購(gòu)買一個(gè)證書并上載以供使用。

天威誠(chéng)信作為中國(guó)唯一一家由DigiCert直接授權(quán)且由中國(guó)工信部批準(zhǔn)的CA認(rèn)證機(jī)構(gòu)，可購(gòu)買DigiCert 、Geotrust、GlobalSign、Entrust、vTrus 等品牌的SSL證書，同時(shí)擁有豐富的應(yīng)對(duì)和解決各種復(fù)雜及突發(fā)情況的專業(yè)服務(wù)支持團(tuán)隊(duì)，可為用戶提供優(yōu)質(zhì)的本地化服務(wù)與7*24小時(shí)技術(shù)支持。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！