SSL证书数字认证服务被认证机构提前中止给SSL证书持有方(网站,即证书客户)和信赖方(网站用户)带来的影响和风险进行评估分析。这里所说的“SSL证书服务被认证机构提前中止”,是指在SSL证书正常的生命周期之内,认证机构提前停止了与SSL证书有关的服务。这里需注意 “中止”与“终止”意义不同,“终止”指SSL证书完成了其生命周期,结束使用。
要分析认证机构提前中止证书服务给SSL证书持有方(网站、客户)和信赖方(网站用户)带来的可能影响和风险,我们需先分析讨论一下,在SSL证书的生命周期内,认证机构给SSL证书持有方(网站)和信赖方(网站用户)到底提供了哪些服务(即我们通常所说的数字认证服务)。
SSL证书的生命周期包括如下这么几个阶段:签发、使用、更新、终止。
SSL证书签发阶段
在这一阶段,认证机构提供的服务内容包括:1)指导SSL证书申请者填写、提交申请信息;2)要求SSL证书申请者,提交进行身份鉴别与验证所必需的、能够证明其身份的各种材料,提供证明其是相应域名的合法拥有者的材料;3)指导申请者(即证书客户)在其Web服务器上产生PKCS#10格式的证书签名请求(即Certificate Signing Request,CSR),并将证书签名请求(CSR)提交给认证机构;4)认证机构根据申请者提交的相关信息和材料,通过一定的安全方式和途径鉴别用户提交的身份信息的真伪,验证、确认是申请者所声称的人本人或其授权人在申请证书(而不是假冒者),确认证书签名请求(CSR)中的信息是正确的;5)完成所有这些验证、确认后,通过CA认证系统为申请者签发SSL证书,并通过一定的途径(如电子邮件),将SSL证书传送给申请者(注:SSL证书本身是不需要保密的);6)指导申请者在Web服务器上安装SSL证书。到此,就结束了SSL证书签发阶段的所有“服务”工作。
SSL证书使用阶段
在这一阶段,认证机构提供的服务内容包括:1)对客户在SSL证书使用过程中可能出现的问题,提供帮助和解决方案(而实际上,SSL证书一旦安装好了,是不会出现什么问题的);2)对客户在SSL证书使用过程中可能出现的疑问,比如其安全性问题等,提供解答;3)当客户的Web网站,由于某种原因,需要进行重新安装、部署时,指导用户对SSL证书及私钥进行备份,重新安装。
从这里我们可以看到,在SSL证书的使用阶段,认证机构提供的服务内容是很简单、日常性的,而且在正常情况下,认证机构在这一阶段是不需要做什么工作的,或者,这阶段的工作,客户自己的、经过适当培训的技术人员也能做到。对于这一阶段认证机构提供的服务,不了解SSL证书应用过程的人往往会有这样一种误解:若某个网站安装了SSL证书,那么,当用户访问这个网站时,浏览器每次都会在线连接、访问SSL证书签发机构(即证书认证机构)的系统,“认证”证书的有效性。实际的情况是,如前面关于SSL证书应用过程的介绍中所述,这时浏览器总是调用本地的密码接口(如CryptoAPI、PKCS#11),利用本地的CA证书(包括根CA证书),构造证书信任链(信任路径),验证SSL证书是否可信(即证书是否能 链接到一个可信的根CA证书上,且证书链上的所有证书的签名有效,所有证书都在有效期内),以及检查SSL证书上的域名是否与目前要访问的网站域名一致,从而确定证书是否是可信的、有效的。在本地证书信任链验证和证书有效性检查通过后,浏览器即认为该证书可信且有效,而不会连接证书认证机构的系统,对SSL证书进行所谓的在线“认证”。实际上,我们通常所说的“证书认证”一词中的“认证”,是指签发证书前认证机构(通过自动和人工的手段)对用户身份、用户公钥的验证、确认过程,而不是在线使用证书时,对证书进行认证。
SSL证书更新阶段
每个SSL证书都有其有效期,通常是一年或者两年时间,超过了这个有效期,证书就失效,不能再使用。若SSL证书失效后继续使用该证书,则当用户访问安装了这个超过有效期的SSL证书的网站时,浏览器对SSL证书有效性的验证就不能通过,浏览器就会向用户发出SSL证书已过期的警告。为了在SSL证书到期后,继续使用SSL证书,就必须进行证书更新。更新后的证书中的客户信息(如网站域名、组织机构等)保持不变,更新后证书密钥对可以与之前的密钥对相同,也可以不同。在客户的SSL证书即将到期前(通常是提前15天或30天),认证机构的CA系统会自动向SSL证书的拥有者(客户)发送提示信息,认证机构的服务人员也会主动联系证书持有者(客户),提醒他们,他们所使用的SSL证书即将到期,需要更新。这时,SSL证书持有者,可以选择更新、继续使用这家认证机构的SSL证书,也可以在SSL证书到期后,选择购买其他认证机构的SSL证书(这完全取决于客户自己的愿望)。若客户选择更新原来的SSL证书,则认证机构会指导客户进行更新工作。SSL证书更新的过程、流程与申请一个新的SSL证书的过程、流程完全类似,只是若客户以前提交的身份信息和材料继续有效,则客户可以不再重复提供这些信息和材料。
SSL证书数字认证服务终止
如果SSL证书到了有效期,证书持有者选择不在原证书认证机构更新其SSL证书,或者,在SSL证书有效期到达之前,用户主动放弃使用该SSL证书,则认证机构向客户提供的证书服务终止。
在SSL证书到达正常的生命周期前,签发SSL证书的认证机构可能基于如下原因,主动地或被迫地提前“中止”对SSL证书持有方(网站)的证书服务。
1)由于客户没有履行其应承担的责任和义务,如提交了虚假资料,不是真正的域名拥有者,没有按合同规定支付费用等。认证机构通知客户,停止向其继续提供证书服务,并要求客户停止使用已签发的SSL证书。
2)提供SSL证书服务的认证机构,由于经营困难等原因,被迫中止其运营服务;
3)在特殊情况下,比如出现国与国间的战争或贸易纠纷,一国的认证机构根据本国政府的要求中止对另一国的客户提供SSL证书服务。
实际上,无论出现上面三种情况中的哪一种,从技术上而言,被中止服务的SSL证书都能像服务被中止之前一样继续使用,不会对网站、网站用户带来任何的影响。这是因为,SSL证书一旦签发、交付给证书持有者,那么,之后SSL证书在使用过程中将不再与认证机构及其系统发生任何技术上的联系(这一点在前面的分析讨论中已论述)。对于第1种认证服务被中止的情形,如果SSL证书持有者继续使用该被中止的SSL证书,可能会带来法律上的问题,但从技术角度,这并不妨碍它继续被使用;对于第3种情况,继续使用被中止的SSL证书当然不会给证书持有者带来法律问题,因为,证书持有者没有违反双方签订的协议和合同,没有违背他的责任和义务(相反的是认证机构违约了)。那么,对于第2、3种情形,对SSL证书持有者可能带来的影响会有哪些呢?主要有如下两点:
1)如果在SSL证书有效期内,继续使用这个SSL证书,那么,当SSL证书的持有者遇到什么技术问题时,将不能得到原SSL证书签发机构的技术支持;
2)在SSL证书到了其有效期后,将不能到原认证机构更新SSL证书,而需要到另一家认证机构申请新的SSL证书。
对于第1点,这不是一个太大的问题,因为,如前所述,通常情况下,SSL证书一旦安装成功,其使用过程一般不会出现什么问题,即使出现问题,网站(SSL证书客户)中受过一定技术培训的人员就能解决一般的技术问题,或者,SSL证书客户到其他认证机构寻求技术支持,最坏的情况不过是到其他认证机构申请一个新的SSL证书。对于第2点,这也不会带来什么大的影响,因为,即使没有出现认证机构主动中止SSL证书服务的情况,也时常会发生证书客户在SSL证书到期后,购买另一家认证机构的SSL证书的情况。即便购买新的SSL证书,对客户的影响也是很小的,客户最多只需重新启动安装了新SSL证书的Web服务器,这个过程通常需几分钟,而且可在晚上进行,因此,对用户和网站提供的服务的影响是很小的。需指出的是,即使是正常的SSL证书更新,每次也得重启Web服务器。
从上面分析我们可以看出,在SSL证书到期前,如果出现签发SSL证书的认证机构提前中止服务,那么,这种服务中止对SSL证书客户(证书持有者)、网站用户的影响是很小的,而且是可控的。
那么,认证机构提前中止证书服务,会给网站、网站用户带来哪些可能的、潜在的风险呢?如果服务中止是第2种情况,即认证机构由于经营困难等原因被迫中断其运营服务,那么,若中止运营服务的认证机构用于签发SSL证书的CA私钥或其上级CA私钥没有得到妥善处理或保管,就可能导致有关CA私钥被泄露,落入黑客、欺诈者或敌对组织的手中,被他们利用签发假冒的SSL证书进行犯罪活动或破坏活动。因此,一旦SSL证书签发机构中止了其运营服务,我们需要采取安全的措施对其CA私钥进行妥善处理,防止其被泄露。如果服务中止属于第3种情况,那么,中止服务的认证机构有可能根据其本国政府的要求,签发假冒的SSL证书进行破坏活动。对于这种情况的出现,我们在前面已进行了分析讨论,我们已指出,这种假冒攻击的发生,与网站原来使用的SSL证书是哪个认证机构签发的是没有关系的。
