卡内基梅隆大学的研究显示:浏览器中的数字证书警告并不是一个有效的安全方案。
研究人员计划在8月14号在蒙特利尔召开的 Usenix安全讨论会上发表他们的研究结果:在两部分试验过程中,安全证书警告基本没有起到任何作用。当浏览器检测到所访问的网站的安全证书存在问题时,会弹出“该网站的安全证书存在问题”的警告信息。
在有409名参与者参与的在线调查中,研究者发现大部分测试者都忽略了这个有关SSL证书的警告信息。而且越是技术高手就越有可能忽略该警告信息。
SSL 证书是用来告知网络用户其所访问的网站是否具有一定级别的安全性。作为一种安全机制,该证书可以让浏览器来验证所访问的web服务器身份。 虽然SSL证书过期大多是由于一些良性的原因,但也可能意味着这是一次中间人攻击性质的网络攻击。
卡内基梅隆大学的研究人员发现,大部分用户都倾向于忽略证书过期的警告信息。比如有大约半数的Firefox 2用户表示会留意‘证书过期‘一词,但是有71%的用户最终会选择忽略该警告信息。
"面对警告信息,大部分做法都是极具危险性的",研究人员在报告中这样表示,而报告也被命名为《狼来了:有关SSL警告信息有效性的研究》。
参与调查者能够识别其它浏览器证书提示的风险信息。比如59%的Firefox 2用户明白‘域名不匹配‘的警告信息,而仅有19%会对于这个警告信息采用忽略的动作。域名不匹配,即浏览器上所显示的URL与用户实际访问的目的地址不匹配,这通常意味着用户正在面对网络钓鱼攻击。
卡内基梅隆大学的研究团队又介绍了另一个由100人在实验室完成的试验。网络商务网站一般都会为自己的网站购买数字签名,而浏览器在访问该网站时,会对比该数字签名与浏览器内部的‘受信证书‘,检查是否匹配。为了伪装成一个网络钓鱼网站,研究人员在实验室全部电脑的Firefox 2, Firefox 3以及IE7浏览器中,删除了相对应的‘受信证书’列表。这导致试验参与人员在访问某个网上银行时,浏览器弹出无效数字证书的警告信息。
结果和第一类试验一样,大量的用户忽略了该警告信息。比如,使用Firefox 2的技术精英之中, 69%忽略了该警告信息。
研究人员还发现,当人们频繁面对警告窗口时,将导致部分用户转而使用其它浏览器。在试验中,有一小部分试验参与者在频繁面对警告信息后,询问研究人员,是否可以用其它浏览器替换当前使用的浏览器。
第二项研究的结果也记入了刚才我们提到的那篇《狼来了》的报告中。
通过这两项研究,卡内基梅隆大学的研究人员们认为,应该取消浏览器有关‘证书过期’的警告信息,改用其它更有效的方式警告用户,从而避免用户因为过多的警告而丧失了对于网络犯罪行为的警觉性。
