近日,Mozilla公司發佈消息稱,至少有一個假冒google的https安全證書被簽發,並且已經接到報告說假冒的https安全證書已經在某些地方使用。虛假的安全證書有可能將用戶引導到不安全網站,導致用戶信息洩露。Mozilla已經於即日更新了他們的firefox和thunderbird,請用戶升級到最新版本
SSL證書頒發機構(SSLCertificateAuthority)DigiNotar證實其系統曾遭受入侵,導致一系列網站得到了一些虛假的公鑰證書,其中包括Google.com。
DigiNotar表示已經檢測到了2011年7月19日發生的安全洩露問題,並刪除了受影響的證書。此外,有一家外部安全審計機構也證實虛假證書已被吊銷。然而,谷歌接收到的虛假證書卻沒被刪除。
DigiNotar表示,發現至少有一個欺詐性的證書還尚未撤銷。後來經荷蘭政府組織Govcert通知,立即採取行動,撤銷了這些欺詐性證書。它還表示這次安全攻擊只是針對DigiNotar簽發SSL和EVSSL證書的基礎設施,其他類型證書的發佈並未涉及。
Firfox公司稱,免疫的最低版本為Firefox:3.6.21或6.0.1;Thunderbird:3.1.13或6.0.1 安全證書簡介
網上傳輸的任何信息都有可能被惡意截獲。所以技術人員開發了一種叫SSL/TLS/HTTPS的技術保障我們的信息傳輸安全,這個技術可以將我們和網站服務器的通信加密起來,不被第三方獲取。
如果網站覺得它的用戶資料很敏感,打算使用SSL/TLS/HTTPS加密,必須先向有CA(CertificateAuthority)權限的公司/組織申請一個安全證書。有CA權限的公司/組織都是經過全球審核,值得信賴的。
但如果安全證書的頒發機構懷有惡意,則用戶的信息可能會被惡意獲取。 有爭議的安全證書
CNNIC(ChinaInternetNetworkInformationCenter,中國互聯網絡信息中心)於2009年被有爭議的通過,成為一個安全證書頒發機構。由於中共政府對網絡信息的嚴密審查,其信譽並沒有得到國際認可,尤其是一些中國大陸網民。 有網絡安全人士表示,CNNIC成為合法的CA,那它就能堂而皇之地製作併發布CA證書。然後捏再配合GFW(中共網絡防火牆)進行DNS的域名劫持。那GFW就可以輕鬆破解任何網站的HTTPS加密傳輸。
這意味著CNNIC可以隨意造一個假的證書給任何網站,替換網站真正的證書,從而盜取我們的任何資料!
這名網絡安全人士留言稱:「GFW和CNNIC作為中共的2條走狗,一起進行中間人攻擊(一個負責DNS欺騙、一個負責偽造CA證書),簡直是天生一對、黃金搭檔啊!」清理CNNIC安全證書的辦法
安全人士建議,最好清理掉Firfox裡的CNNIC安全證書,這樣可以避免不必要的安全問題。
清理的步驟如下:
先打開Firefox瀏覽器(它的證書體系獨立於操作系統的)1、從菜單「工具」=>「選項」,打開選項對話框
2、切換到「高級」部份,選中「加密」標籤頁,點「查看證書」按鈕。
3、在證書對話框中,切換到「證書機構」。
4、裡面的證書列表是按字母排序的。把CNNIC打頭的都刪除,再把Entrust開頭的也刪除。(清除Entrust是因為它簽名信任CNNIC,我們同樣也會連帶被「信任」CNNIC)清除之後,如果哪個我們需要訪問的網站需要簽名時,我們可以添加例外
沒有留言:
張貼留言