黑客已经从一个证书授予机构取得数字证书,这使得他们可以向许多域发送欺诈公钥证书请求,包括搜索引擎巨头谷歌所拥有的网站。
VASCO数据安全国际公司的子公司,位于荷兰的证书颁发机构DigiNotar,为网络犯罪分子颁发了证书,使他们获得了使用流氓SSL证书劫持Gmail帐户,以及使用SSL和EVSSL证书(为安全考虑同时向用户证明其合法性)欺诈安全的网站的能力。这次违反操作发生在7月19日。在VASCO发出的一份声明中,该公司表示它们已撤销了所有的诈骗证书。
“最近,我们发现,至少有一个欺诈性的证书在那时还没有被撤销,”该公司表示,“在荷兰政府组织Govcert发出通知后,DigiNotar立即采取行动撤销了欺诈证书。”
这次攻击是针对DigiNotar用来颁发其数字证书的系统。目前,证书颁发机构暂停出售其SSL和EVSSL证书,直到得出其他安全审计结论为止。VASCO表示,运行其强认证业务的系统没有受到这次违反的影响。关于被盗证书的详细信息已于上周六发布到一个公共论坛上。
本周一,谷歌回应了流氓证书,声称它已经在Chrome浏览器中禁用了DigiNotar证书颁发机构。谷歌表示,证书的主要影响在伊朗的人。此外,Mozilla也已经禁用了对该证书的支持。
“这表示,如果Chrome和Firefox的用户试图访问使用DigiNotar证书的网站,那么他们将收到通知,”谷歌的信息安全经理Heather Adkins在谷歌在线安全博客中这样写道,“为了帮助防止不必要的监视,我们建议用户,特别是那些在伊朗的用户,保持网络浏览器和操作系统的更新,并注意Web浏览器的安全警告。”
本周一,微软发布了一个安全公告,表示其已经为Windows Vista和Windows 7用户从受信任的根证书列表中删除了DigiNotar根证书。
“该证书潜在的影响了那些试图访问Google旗下网站的互联网用户,”微软可信赖计算主任Dave Forstrom在微软安全响应中心博客中写道,“欺诈证书可用于欺骗Web内容,进行钓鱼攻击或对最终用户执行中间人攻击。”
攻击者过去曾有针对性的攻击证书颁发机构。今年三月,在黑客入侵了一个Comodo公司登记管理机关合作伙伴的系统后,他们从Comodo公司偷走了证书。该泄漏导致了在七个Web域发布了九个欺诈证书,包括搜索引擎巨头谷歌和雅虎。一位伊朗黑客声称对这次SSL证书偷窃负责。Comodo公司表示,Comodo根键(root keys),中间计算机结构(intermediate CAs)或安全硬件没有收到损害。
