SSL/TLS證書過濾設備(112、114、116、118)、系統和過程可以基于與每個分組相關聯的風險來過濾分組。可以基于相關聯的威脅和風險針對每個分組確定風險評分。可以基于與每個分組相關聯的證書、證書認證機構和/或最終用戶來確定風險評分。可以按威脅和風險對證書進行評分和/或分類。

相關申請的交叉引用

本申請要求于2019年3月5日提交的美國正式專利申請序列第16/293,087號的優先權，其全部內容通過引用明確地并入本文。

技術領域

本文描述的方面總體涉及計算機硬件和軟件以及網絡安全性。特別地，本公開的一個或更多個方面總體涉及用于基于證書、證書認證機構和與分組相關聯的最終用戶過濾通信的計算機硬件和軟件。

背景技術

隨著信息時代的不斷發展，網絡安全變得越來越重要。連接可以通過加密數據來保護，以防止數據暴露給第三方。在傳輸控制協議/互聯網協議(TCP/IP)網絡中，可以通過使用傳輸層安全性(TLS)協議或通過使用TLS的前身安全套接字層(SSL)協議來保護端點之間的傳輸中通信。TLS提供了隱私、身份驗證和通信的完整性。TLS通過使用X.509證書來保護通信。這些X.509證書通常由證書認證機構(CA)組織頒發。通常，TLS用于保護客戶端-服務器通信，其中服務器提供可用于安全地建立會話密鑰的證書。客戶端和服務器使用會話密鑰來加密和解密通過TLS隧道發送的數據。例如，通常用于保護Web通信的超文本傳輸協議安全(HTTPS)協議由通過TLS或SSL加密的超文本傳輸協議(HTTP)通信組成。還有其他使用X.509證書來保護通信的協議，諸如數據報傳輸層安全性(DTLS)、快速UDP互聯網連接(QUIC)和超文本傳輸協議版本3(HTTP/3)草案，并且這些協議可以由各種應用使用，包括網絡瀏覽器和服務器、虛擬專用網絡(VPN)軟件以及軟件打包和交付系統。

關于SSL/TLS協議本身的安全風險，由于已知的安全漏洞，標準組織(例如，IETF)已棄用舊版本的協議，諸如SSL?v2、SSL?v3和TLS?1.0。TLS的較新版本的已知安全漏洞較少。但是仍然存在許多與SSL/TLS使用相關的安全風險，可能被惡意主體利用。許多這些風險源于對人類正確管理SSL/TLS使用和相關證書的依賴。例如，網站管理員可能無法跟上保護證書的版本更新和安全補丁；CA組織可能會失陷，因此他們頒發的證書可能會泄露；HTTPS端點和相關應用(例如，網絡瀏覽器)可能未完全采用與證書相關的安全風險降低措施；人類最終用戶可能會從事風險行為，諸如無視與證書相關的安全風險警告；等等。如下所述，本公開提供了減輕這些與證書相關的安全風險以提高SSL/TLS通信的安全性的方法。

目前，可以通過網絡瀏覽器或端點托管的其他應用程序來分析證書和證書認證機構(CA)的某些安全風險，從而可以采取措施降低風險；然而，通常不會分析與最終用戶行為相關的風險。最終用戶可以指操作使用SSL/TLS通信的端點托管應用程序(例如，網絡瀏覽器)的實體，并且可以通過端點地址、統一資源名稱(URN)、目錄名稱等(例如，經由輕量級目錄訪問協議(LDAP))進行識別。最終用戶還可以通過與該用戶或端點相關聯的用戶或端點證書來識別。

瀏覽器通常使用簡單的二元量表來衡量證書風險。即，證書被認為是無風險的或無效的。無風險與頒發CA相關聯。準確地說，默認情況下，瀏覽器認為大多數CA是值得信賴的/無風險的。此外，當瀏覽器無法驗證證書時，它們可能會警告人類用戶存在安全問題，但隨后仍會為人類用戶提供繼續進行通信的選項。盡管向用戶表明了風險，但用戶經常選擇繼續會話。這個過程實際上抵消了安全分析的任何有益效果。這些類型的最終用戶的行為風險通常不會被瀏覽器或代理識別和收集，因此未被應用于進一步保護網絡。

更糟糕的是，網絡瀏覽器，尤其是移動瀏覽器，通常不執行一些基本的安全操作，諸如檢查證書的撤銷或過期狀態，和/或不強制實施安全策略。這些有風險的瀏覽器和人類行為對于對抗性實體來說是眾所周知的，并且很容易被利用。因此，與許多其他類型的網絡攻擊一樣，社交工程是一種有效的攻擊媒介。網絡犯罪分子通常會迅速采取行動來利用這些安全漏洞。

發明內容