DigiNotar的憑證管理系統於7月遭到入侵,因而頒發了包括Google,Mozilla與Yahoo在內的一些假冒憑證。
日前傳出網路上出現假冒的Google憑證,該憑證是由荷蘭的認證機構DigiNotar所頒發。DigiNotar的母公司VASCO本周坦承,DigiNotar的憑證管理系統於7月遭到入侵,因而頒發了包括Google在內的一些假冒憑證。荷蘭資安業者則透露駭客至少取得了超過200個假冒的數位憑證。
VASCO說明,DigiNotar是在今年7月19日發現憑證管理架構被入侵。不過,假Google憑證的頒發日期則是7月10日,顯示駭客有充裕的時間取得其他假冒憑證。
根據外電報導,荷蘭資安業者Madison Gurka引述消息來源表示,駭客可能取得了超過200個偽造的憑證,除了Google外,還包括Mozilla與Yahoo。
VASCO並未公布被盜發的憑證數量,但表示在發現系統被入侵後,旋即進行稽核並撤消了這些憑證,唯獨漏掉一個假冒的Google憑證。Sophos資深安全顧問Chester Wisniewski則批評,這令人懷疑DigiNotar的稽核品質與深度,同時也有其他資安業者發現DigiNotar網站上有數個網頁被駭。
數位憑證主要是由中立的機構所頒發,以確定使用者所造訪的網站與該站所宣稱的品牌吻合。但近來相繼發生憑證頒發機構被駭的事件,動搖了外界對憑證管理機構的信任。
在假Google憑證於網路流竄後,Google與Mozilla已相繼更新旗下的Chrome及Firefox瀏覽器,封鎖使用DigiNotar憑證的網站,微軟也發出安全通知,表示微軟是在作業系統中嵌入可信賴的憑證名單來阻擋假冒的憑證,並已將DigiNotar所頒發的憑證移出該名單。
(編譯/陳曉莉)
沒有留言:
張貼留言
希望各位在留言時可以選擇身分
Yahoo帳號請選OpenID
網址打yahoo.com
以便回覆時較好辨認及交流
謝謝合作