Chrome,Firefox,IE阻止欺诈性数字证书

Google,Microsoft和Mozilla撤销了对土耳其认证机构(CA)TURKTRUST错误发行的两个数字证书的信任。

Google,Microsoft和Mozilla于1月3日宣布,他们将撤销对土耳其认证机构(CA)TURKTRUST意外发行的两个数字证书的信任。当你开始谈论另一个 惨败,许多人在阅读技术细节时会眼前一亮,因为他们知道这很不好,但实际上不知道为什么对于被认为值得信任的数字证书最终变得不信任如此危险。不良数字证书的根本问题在于,它是一种经过证明的谎言,使人们容易受到不良行为者,网络犯罪分子或他人的损害。 浏览器中的老大哥.

在大多数浏览器的背景下,静默地接受了来自有效CA的新数字证书。当许多人在浏览器窗口中看到挂锁时,他们会感到相当安全,据称这表明 启用S​​SL的安全连接 用于银行或电子邮件之类的私人通信。但是,窃听攻击者可以获得虚假的数字证书,可以成功模拟您访问的每个加密网站,而您不知道自己不在真实网站上。通过使用欺诈性证书,窃听者可以悄悄地发起中间人(MITM)攻击,以监视或记录所有加密的Web流量,而用户不知道发生了什么。换句话说,您的加密Web浏览没有任何私密性或安全性。

Google软件工程师Adam Langley, 在圣诞节前夕,“ Chrome浏览器检测到并阻止了针对“ * .google.com”域的未经授权的数字证书。 “我们立即进行了调查,发现该证书是由与土耳其证书颁发机构TURKTRUST链接的中间证书颁发机构(CA)颁发的。中间CA证书具有CA的全部授权,因此拥有该证书的任何人都可以使用它来创建证书颁发机构他们想假冒的任何网站的证书。”

在圣诞节期间,Google阻止了该中间CA,并通知TURKTRUST和其他浏览器供应商。 TURKTRUST告诉Google,“他们在2011年8月错误地向应该接收常规SSL证书的组织发放了两个中间CA证书”。 12月26日,Google推出了“另一项Chrome元数据更新,以阻止第二个错误的CA证书并通知其他浏览器供应商。” Langley补充说:“鉴于情况的严重性,我们将在一月份再次更新Chrome,以不再表明TURKTRUST颁发的证书的扩展验证状态。”

关于Mozilla Firefox,Michael Coates Mozilla正在暂停包含TURKTRUST根证书。 “ Mozilla的CA证书程序中目前包含两个TURKTRUST根证书。TURKTRUST已请求包括一个较新的根证书,并且其请求已被批准并且处于Firefox 18 beta中。但是,由于中间证书的发布错误,我们决定暂时暂停包含其新的根证书。”

虽然有一个 技术讨论 在Mozilla开发人员安全策略组中,Coates具有 最佳非技术性描述 这个问题有多危险。他将影响描述为:

用于MITM的中间证书允许证书持有者解密和监视用户与任何网站之间的网络内通信。此外,如果一个错误发行的中间证书的私钥遭到破坏,则攻击者可以使用它来创建SSL证书,其中包含证书持有者不合法拥有或控制的域名或IP地址。拥有欺诈性SSL证书并具有控制受害者网络的能力的攻击者可能以大多数用户无法检测到的方式冒充网站。此类证书可能欺骗用户进入似乎来自域所有者的信任网站,但实际上包含恶意内容或软件。

微软还发布了 欺诈性数字证书可能允许欺骗 安全咨询。 “ 微软知道使用TURKTRUST Inc.颁发的一个欺诈性数字证书进行的主动攻击,该证书是Trusted Root证书颁发机构商店中存在的CA。”此问题影响所有受支持的Microsoft Windows版本。 “该欺诈性证书可用于欺骗内容,进行网络钓鱼攻击或对多个Google网络媒体资源进行中间人攻击。”因此,“ 微软正在更新证书信任列表(CTL),并为Microsoft Windows的所有受支持版本提供更新,该更新将删除导致此问题的证书信任。”

同时,据称微软受到了“粉碎性打击”。经过19个月的调查,联邦贸易委员会(FTC)结束了对Google反托拉斯的审查,只不过是轻轻一巴掌。科技巨头 同意 最重要的是抓取竞争对手的内容,并允许竞争对手获得其一些移动专利。 Google首席法律官David Drummond ,“结论很明确:Google的服务既有利于用户,又有利于竞争。”与此同时, ReadWriteWeb写道,“这对Microsoft来说是沉重的打击,过去几年来,它花费了数百万美元在游说者和虚假的草根团体上,以期让Google陷入困境。”

在其他Microsoft新闻中,受水坑攻击影响的网站利用了 IE中的关键零日漏洞 现在还包括 能源制造商Capstone Turbine Corp 和别的 政治场所。可能会发现,更多的网站也托管了IE零时差攻击,使攻击者可以控制运行Internet Explorer 6、7和8的完全修补版本的计算机。 微软的两个关键修复 即将在星期二发布补丁程序,一个程序将关闭Windows XP中对Windows 8,Windows Server 2003、2008、2008 R2和2012的漏洞。您应该计划重新启动。但是目前,用户将不得不坚持使用创可贴 快速解决 零日漏洞利用IE。那还是切换浏览器。

像这样?这里有更多帖子:

在推特上关注我 @PrivacyFanatic

版权© 2013 IDG通讯,Inc.