據(jù)谷歌官方安全博客報(bào)道,谷歌發(fā)現(xiàn)一個(gè)與法國(guó)信息系統(tǒng)安全局(ANSSI)有關(guān)系的中級(jí)CA發(fā)行商發(fā)行了偽造的CA證書。谷歌宣布馬上 更新Chrome吊銷了這個(gè)證書,并通知了ANSSI和其它掃瞄 器供應(yīng)商。
谷歌在博客中指出,中間證書里包含了所有的CA授權(quán),所以任何人只要得到這樣的一張中間證書,就可以用它偽造出任何一張他想要得到的網(wǎng)站證書,這樣就可以在用戶知情的情況下監(jiān)視加密網(wǎng)絡(luò)流量。例如“破解Google Gmail的https新思路”里提到的攻擊方式。
ANSSI隨后發(fā)表聲明,稱發(fā)行偽造證書是一次人為錯(cuò)誤,表示沒有對(duì)整體網(wǎng)絡(luò)安全造成任何影響。
據(jù)悉,ANSSI偽造CA證書是全球首例曝光的國(guó)家級(jí)偽造CA證書劫持加密通訊事件,在網(wǎng)絡(luò)安全行業(yè)影響惡劣。此偽造CA證書被利用監(jiān)視Google流量,劫持Google的加密網(wǎng)絡(luò)服務(wù),例如對(duì)Gmail、Google HTTPS搜索、Youtube等進(jìn)行釣魚攻擊、內(nèi)容欺騙和中間人攻擊,從而實(shí)現(xiàn)竊取受害者的Google帳號(hào)密碼等功能。
谷歌用這次事件強(qiáng)調(diào)證書透明度的必要性,打算修復(fù)SSL證書系統(tǒng)中的缺陷,這種缺陷易導(dǎo)致中間人進(jìn)攻和網(wǎng)絡(luò)欺詐。谷歌針對(duì)此類漏洞的對(duì)策是,采納CA框架使監(jiān)控和審查這些證書,如此來排除流氓CA或者當(dāng)違規(guī)證書企圖進(jìn)入的時(shí)候進(jìn)行隔離。
微評(píng):法國(guó)相關(guān)部門通過違法證書的方法攻擊Gmail帳號(hào),實(shí)在是too simple,sometimes naive了,這種做法不但容易被抓住把柄,而且被揭穿后會(huì)聲名狼藉,不可收拾,看看天朝就先進(jìn)多了,直接通過電信運(yùn)營(yíng)商來劫持用戶盜取密碼,Google那里沒有中國(guó)的網(wǎng)絡(luò)環(huán)境根本發(fā)現(xiàn)不了,結(jié)果用戶被黑了都不知道誰搞的,所以啊,中國(guó)用戶使用Gmail,兩步驗(yàn)證是必須的。