最近の学術研究は、そのソフトウェアのエラーを発見し、業界標準の誤解があるほとんどのエラーは、SSL証明書発行の主な理由、提供されるすべてのエラーイベントの42%という高い割合。
この研究は、ブルーミントン、インディアナ大学を計算し、大学情報のチームによって書かれた、彼らは間違ったインスタンスによって発行された379 SSL証明書を学び、1,300以上のイベントの合計を発見しました。
研究者は、オンラインディスカッションフォーラムのFirefoxとChromeのブラウザのセキュリティチームとMozillaのBugzillaの追跡などの公共資源からイベントデータを収集しました。本研究の目的は、認証局(CA)がどのように後ろのエラーの最も一般的な原因によって発行されたSSL証明書だけでなく、業界標準に準拠するために検討することでした。
チームは結論に達した「エラーの事件のほとんどがソフトウェアエラーによって引き起こされるSSL証明書を発行します。」
379例彼らの分析では、CAの91(24%)が存在するソフトウェアプラットフォームソフトウェアエラーが受信顧客をもたらすことは互換SSL証明書ではない、引き起こされます。
CAは、CA / Bフォーラムのルール、またはCAを誤解していることであるが、ルールを知らない第二の最も一般的な理由は、変更されている、場合で69例、エラーイベントの18%を占めるが発行するすべてのSSL証明書があります。
データの問題の悪質なCAの根本的な原因は占め52 SSL証明書発行のエラー例と第三位になった(全ての14%がイベントを分析した)CAは、利益のために、意図的に悪であり、そのような彼らが与えるなどの業界のルールを破壊中央の攻撃の販売証明書の男。
ヒューマンエラーの第四の最も一般的な原因は、37人の患者(10%の合計)。
第五は、全症例の8%を占め、29例を占め、エラーがなく、ソフトウェアやヒューマンエラーよりも、内部プログラム・エラーが原因である間違い、CA、です。
顧客の身元を確認したときに第六は、「非最適要求検査(非最適リクエストチェック)」の根本的な原因で、この用語は、クライアントは通常、例えば、マルウェア作者が得られ、別のエンティティ不正偽物を許可ミスを記述するSSL証明書の正当な企業。研究者は、これらの事件の24は、6%のすべての発行のSSLエラーイベントを占めていることが分かりました。
発行され、間違ったSSL証明書の第七最も一般的な原因は、CAがハッキングまたは第三者がSSL証明書を取得することを可能にするためにそのインフラの制御を失うことすべてが含まれ、一般的なカテゴリーである「間違ったセキュリティ制御」であり、状況。
あなたは試験の詳細を表示できます。