2011年9月2日

此一假冒的憑證是由荷蘭的認證機構DigiNotar在今年7月10日所頒發,該憑證適用於所有以google.com結尾的網域,不過,該憑證並不是Google所申請,這代表取得該憑證的組織得以偽造任何Google網頁並要求使用者輸入個人資料。 本周日(8/28)一名伊朗人在Gmail...

網路出現Google假憑證

此一假冒的憑證是由荷蘭的認證機構DigiNotar在今年7月10日所頒發,該憑證適用於所有以google.com結尾的網域,不過,該憑證並不是Google所申請,這代表取得該憑證的組織得以偽造任何Google網頁並要求使用者輸入個人資料。

本周日(8/28)一名伊朗人在Gmail論壇上透露,當他要登入Gmail帳號時看到Chrome瀏覽器跳出一個憑證警告,表示他所要登入的網站使用的是無效的憑證(Certificate Authority, CA),且Chrome瀏覽器並不支援,接著Mozilla即發出聲明表示將更新Firefox等產品以封鎖任何採用DigiNotar所頒發憑證之網站。

此一假冒的憑證是由荷蘭的認證機構DigiNotar在今年7月10日所頒發,該憑證適用於所有以google.com結尾的網域,不過,該憑證並不是Google所申請,這代表取得該憑證的組織得以偽造任何Google網頁並要求使用者輸入個人資料。該名伊朗人還推論可能是當地政府或ISP業者幹的好事,目的是為了竊取當地居民的通訊內容。而DigiNotar則在事件曝光後於周一(8/29)撤銷了該憑證。

Sophos資深安全顧問Chester Wisniewski指出,DigiNotar並未說明是如何頒佈了此一憑證,究竟是DigiNotar被駭,或者是被假冒Google的公司所申請,不論是哪一種,都證明了大家原本決定信賴的CA架構是不可靠的。Wisniewski還推薦Moxie Marlinspike所提出的Convergence方案,該方案建議取消CA的使用,並改用公證與代理系統。

Mozilla很快就在周一(8/29)釋出聲明,表示已知道市面上流竄著一個假冒Google的SSL憑證,因此很快就會更新Firefox、Thunderbird與SeaMonkey,以取消對DigiNotar憑證的信任。

Chrome之所以能立即查驗出偽造的憑證有賴於今年6月對Chromium 13的安全更新,該更新內建了固定憑證與HSTS(HTTP Strict Transport Security)機制,只有極少數的憑證有權擔保Gmail,可避免發生CA憑證遭到濫用的情況。

Google的先見之明來自於CA認證機構Comodo的合作夥伴曾在今年4月遭到入侵,駭客並藉此頒佈9個包括Google、Gmail及微軟網站在內的9個假冒的憑證。當Google本周再得知假冒的憑證時,亦決定於Chrome中暫時封鎖所有採用DigiNotar憑證的網站。


(編譯/陳曉莉)

本文引用於此

沒有留言:

張貼留言

希望各位在留言時可以選擇身分
Yahoo帳號請選OpenID
網址打yahoo.com
以便回覆時較好辨認及交流
謝謝合作

Powered by s911415 and Blogger