【译文】浏览器中不可信的 TLS 证书

tls TLS证书| 2024-04-17

主要的浏览器原生信任一大堆证书颁发机构，其中有些非常不可靠：

谷歌的 Chrome 浏览器、苹果的 Safari、非盈利的 Firefox 和其他浏览器都允许 TrustCor Systems 公司充当所谓的根证书颁发机构，这是互联网基础设施中的一个重要位置，它可以保证网站不是假冒的，并引导用户无缝访问这些网站。

该公司在巴拿马的注册记录显示，该公司拥有与今年被确认为亚利桑那州 Packet Forensics 公司关联公司的间谍软件制造商完全相同的管理人员、代理和合作伙伴，该公司的公共合同记录和公司文件显示，十多年来，该公司一直向美国政府机构出售通信拦截服务。

[…]

在早前的间谍软件事件中，卡尔加里大学的研究人员乔尔-里尔登（Joel Reardon）和加州大学伯克利分校的塞尔日-埃格尔曼（Serge Egelman）发现，一家巴拿马公司 Measurement Systems 一直在付钱给开发人员，让他们在各种无害的应用程序中加入代码，以记录和传输用户的电话号码、电子邮件地址和确切位置。据他们估计，这些应用程序被下载了 6000 多万次，其中包括 1000 万次下载穆斯林祈祷应用程序。

根据域名历史记录，Measurement Systems 的网站由 Vostrom Holdings 注册。根据弗吉尼亚州的记录，Vostrom 于 2007 年提交文件，以 Packet Forensics 的名义开展业务。另一份州档案显示，Measurement Systems 是由 Saulino 在弗吉尼亚州注册的。

Reardon 提供了更多详细信息。

科里-多克托罗（Cory Doctorow）很好地解释了背景和一般安全问题。

修改补充（11/10）：Slashdot 讨论

本文文字及图片出自 An Untrustworthy TLS Certificate in Browsers