专业网站建设B/S软件开发专业微信营销专业技术建设团队做客户满意度最高的软件公司
郑州网站建设、郑州网站开发
 

Google发现法国政府伪造CA证书

作者:新闻资讯出处:学众科技发布时间:2013年12月17日点击数:1070

据谷歌官方安全博客报道,谷歌发现一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。谷歌宣布马上 更新Chrome吊销了这个证书,并通知了ANSSI和其它扫瞄 器供应商。

谷歌在博客中指出,中间证书里包含了所有的CA授权,所以任何人只要得到这样的一张中间证书,就可以用它伪造出任何一张他想要得到的网站证书,这样就可以在用户知情的情况下监视加密网络流量。例如“破解Google Gmail的https新思路”里提到的攻击方式。

ANSSI随后发表声明,称发行伪造证书是一次人为错误,表示没有对整体网络安全造成任何影响。

据悉,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密网络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击,从而实现窃取受害者的Google帐号密码等功能。

谷歌用这次事件强调证书透明度的必要性,打算修复SSL证书系统中的缺陷,这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是,采纳CA框架使监控和审查这些证书,如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。

微评:法国相关部门通过违法证书的方法攻击Gmail帐号,实在是too simple,sometimes naive了,这种做法不但容易被抓住把柄,而且被揭穿后会声名狼藉,不可收拾,看看天朝就先进多了,直接通过电信运营商来劫持用户盗取密码,Google那里没有中国的网络环境根本发现不了,结果用户被黑了都不知道谁搞的,所以啊,中国用户使用Gmail,两步验证是必须的。

沙澧街