病毒出国“镀金”？国外CA滥发数字证书遭利用

• CA滥发数字证书，病毒

两家国外CA认证机构签发的数字证书，竟然成为中国木马病毒伪装身份的“保护伞”。近期，随着一系列冒用知名科技公司数字签名的木马病毒泛滥，国外一些CA机构在认证流程上的漏洞也被曝光出来。

据多家杀毒厂商发布的警报，从今年7月以来，国内陆续出现冒用美图、酷我、暴风等知名软件数字签名的木马病毒。这些病毒获取数字签名的方法非常简单，就是假冒美图等公司名义，向Go daddy、Starfield这两家美国CA机构申请数字证书。

而这两家国外CA对于证书申请者的真实身份并没有做严格审查，只要一份“单位授权书”和简单的电话验证，询问“你是某某公司吗”，回答“是”就可以通过验证，而且“单位授权书”也可以轻易伪造，这就使不法分子能够随意申请到知名软件的数字签名。

程序的数字签名相当于人类的身份证，知名软件公司的数字签名更是具有极高的可信度，一旦被木马病毒获得就会成为天然的保护伞，被绝大多数杀毒软件误认为合法程序。

打个比方，一个被通缉的犯罪分子在社会上寸步难行，想做假证又很容易被识破，于是找到管理不严的发证机关，直接办一个社会名流的身份证，然后就拿着这个证件堂而皇之地出入机场、酒店，无疑会带来巨大的安全威胁。

尽管Go daddy和Starfield都是国际知名的第三方认证授权机构(CA)，其销售体系的漏洞却被国内木马病毒轻松利用“镀金”，然后放出来攻击中国网民电脑。

相比之下，国内的CA机构显然更了解网络黑产狡猾多变的犯罪手法，在认证流程上对申请者真实身份的审核也更为严格。以沃通为代表的本土CA为例，记者查询其证书办理流程，要求企业申请者必须提交已经年检的营业执照副本复印件，由沃通在当地工商局网站查验核实;此外还必须从证书申请单位的银行帐户公对公付款、必须出具授权书授权单位员工代表公司申请证书、申请SSL证书必须验证域名所有权，不法分子很难钻空子假冒其他企业名义申请代码签名证书。

数字认证是网络安全的基础措施。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的加解密和身份认证系统。虽然一些国外CA机构起步早、在国际上占据一定市场优势，但月亮并非都是外国圆，Go daddy和Starfield被木马病毒利用也为网络安全行业敲响了警钟，对这类CA机构签发的证书更应提高警惕。