Facebook帮助公司检测域名的流氓SSL证书

Facebook推出了一个工具，允许域名所有者发现未经他们知识发出的TLS / SSL证书。

该工具使用从可公开访问的许多证书透明度日志中收集的数据。证书透明度（CT）是一个新的开放式标准，需要证书颁发机构披露他们发出的证书。

直到几年前，没有办法跟踪每个证书颁发机构（CA）发出的证书。最多，研究人员可以扫描整个网络并收集在公共服务器上使用的证书。这使得在未经批准“所有者的情况下，难以发现CAS发布域名证书的案例。

由于技术或人为错误，过去已经有许多证书错误，或者由于CA的基础设施被黑客遭到妥协，然后滥用它以发出高调域的证书。此类证书有效，可用于中间人攻击，以拦截到HTTPS保护的网站的流量。

并非所有世界的CAS都采用了CT，但最终将被迫这样做。例如，谷歌计划在2017年10月1日发布的所有证书中制定CT合规性强制性。这意味着发布但未发布到CT日志的任何证书都不会在Chrome中受到信任。

Facebook最初建立了其内部使用的CT监控服务，该服务已帮助该公司的安全团队发现至少有两份为FB.com子域发出的证书而无需知识。调查显示，CA由CA颁发的另一支团队在Facebook内未能通知安全团队的要求发布。

与许多其他大型组织一样，Facebook在4月博客文化帖子中表示，使用各种网站进行外包给第三方的营销和特殊活动。“证书透明度监控允许我们即使我们将直接管理委派给另一方，也可以跟踪这些网站。”

通过该服务能够在一个小时内检测错误发出的证书，Facebook决定在其中构建一个公共工具，以帮助其他公司以类似的方式跟踪其域的证书。

该工具允许用户查找域名已存在的证书，以及订阅新的证书在域的CT日志中出现的电子邮件警报。

“如果您收到CA发出的通知，即您发现了您拥有的域的证书，您可能希望联系CA，确保您的身份不会受到损害，并考虑撤销证书，”Bartosz Facebook“产品安全团队的软件工程师Niemczura在博客帖子中表示。