Google發(fā)現(xiàn)法國政府偽造CA證書

據(jù)谷歌官方安全博客報道，谷歌發(fā)現(xiàn)一個與法國信息系統(tǒng)安全局(ANSSI)有關(guān)系的中級CA發(fā)行商發(fā)行了偽造的CA證書。谷歌宣布馬上 更新Chrome吊銷了這個證書，并通知了ANSSI和其它掃瞄 器供應(yīng)商。

谷歌在博客中指出，中間證書里包含了所有的CA授權(quán)，所以任何人只要得到這樣的一張中間證書，就可以用它偽造出任何一張他想要得到的網(wǎng)站證書，這樣就可以在用戶知情的情況下監(jiān)視加密網(wǎng)絡(luò)流量。例如“破解Google Gmail的https新思路”里提到的攻擊方式。

ANSSI隨后發(fā)表聲明，稱發(fā)行偽造證書是一次人為錯誤，表示沒有對整體網(wǎng)絡(luò)安全造成任何影響。

據(jù)悉，ANSSI偽造CA證書是全球首例曝光的國家級偽造CA證書劫持加密通訊事件，在網(wǎng)絡(luò)安全行業(yè)影響惡劣。此偽造CA證書被利用監(jiān)視Google流量，劫持Google的加密網(wǎng)絡(luò)服務(wù)，例如對Gmail、Google HTTPS搜索、Youtube等進(jìn)行釣魚攻擊、內(nèi)容欺騙和中間人攻擊，從而實現(xiàn)竊取受害者的Google帳號密碼等功能。

谷歌用這次事件強(qiáng)調(diào)證書透明度的必要性，打算修復(fù)SSL證書系統(tǒng)中的缺陷，這種缺陷易導(dǎo)致中間人進(jìn)攻和網(wǎng)絡(luò)欺詐。谷歌針對此類漏洞的對策是，采納CA框架使監(jiān)控和審查這些證書，如此來排除流氓CA或者當(dāng)違規(guī)證書企圖進(jìn)入的時候進(jìn)行隔離。

微評：法國相關(guān)部門通過違法證書的方法攻擊Gmail帳號，實在是too simple，sometimes naive了，這種做法不但容易被抓住把柄，而且被揭穿后會聲名狼藉，不可收拾，看看天朝就先進(jìn)多了，直接通過電信運營商來劫持用戶盜取密碼，Google那里沒有中國的網(wǎng)絡(luò)環(huán)境根本發(fā)現(xiàn)不了，結(jié)果用戶被黑了都不知道誰搞的，所以啊，中國用戶使用Gmail，兩步驗證是必須的。