如何检测出看起来真实的假证书？

报道称Zeus又回来了，这次它还有自己真实的数字证书。那么该如何检测出具有看似真实证书的木马程序呢？

Nick Lewis：公共密钥基础设施在设计时考虑了多个安全功能，这些功能让终端实体来决定自己的信任。也就是说，在这个系统中，如果证书被感染，证书颁发机构（CA）发布的数字证书会被撤销，或者证书颁发机构可能被吊销发放证书的资格。

Netscape在提高其Web浏览器的电子商务取得了显著的进步，CA证书被捆绑在Web浏览器来支持新的SSL协议。虽然这种做法将系统设置为在默认情况下信任这些CA，一个最大的问题是，任何CA都可以发布任何名称的证书。例如，www.google.com可以由恶意CA签名，仍然看起来像是合法的www.google.com网页。

Zeus变体使用的真实数字证书被合法CA分配到合法软件公司，但这并不能保护终端免受攻击。当该CA吊销该证书（防止某些系统信任这个签名的恶意软件）时，大多数系统没有检查撤销情况，这里原因有很多（例如，Web浏览器、操作系统或其他应用在默认情况下没有启用该功能），而沦为这个假证书和恶意软件的受害者。

企业可以在安装软件之前，检查已签名软件的证书吊销情况，从而检测出看似真实的证书是否为假证书。企业还可以检查通过HTTP下载的每个文件，看看文件是否由已吊销证书签名，然而可以阻止下载。另外，企业可以检查本地系统的每个文件以确定文件是否由已吊销证书签名，如果发现由已吊销证书签名的文件，应该调查该文件所在系统。

我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。

我原创，你原创，我们的内容世界才会更加精彩！

【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号