Google发现法国政府伪造CA证书
2013-12-11 19:28
330 查看
据谷歌官方安全博客报道,谷歌发现一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。谷歌宣布立即更新Chrome吊销了这个证书,并通知了ANSSI和其它浏览器供应商。
谷歌在博客中指出,中间证书里包含了所有的CA授权,所以任何人只要得到这样的一张中间证书,就可以用它伪造出任何一张他想要得到的网站证书,这样就可以在用户知情的情况下监视加密网络流量。例如“破解Google Gmail的https新思路”里提到的攻击方式。
ANSSI随后发表声明,称发行伪造证书是一次人为错误,表示没有对整体网络安全造成任何影响。
据悉,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密网络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击,从而实现窃取受害者的Google帐号密码等功能。
谷歌用这次事件强调证书透明度的必要性,打算修复SSL证书系统中的缺陷,这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是,采用CA框架使监控和审查这些证书,如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。
微评:法国相关部门通过违法证书的方法攻击Gmail帐号,实在是too simple,sometimes naive了,这种做法不但容易被抓住把柄,而且被揭穿后会声名狼藉,不可收拾,看看天朝就先进多了,直接通过电信运营商来劫持用户盗取密码,Google那里没有中国的网络环境根本发现不了,结果用户被黑了都不知道谁搞的,所以啊,中国用户使用Gmail,两步验证是必须的。
谷歌在博客中指出,中间证书里包含了所有的CA授权,所以任何人只要得到这样的一张中间证书,就可以用它伪造出任何一张他想要得到的网站证书,这样就可以在用户知情的情况下监视加密网络流量。例如“破解Google Gmail的https新思路”里提到的攻击方式。
ANSSI随后发表声明,称发行伪造证书是一次人为错误,表示没有对整体网络安全造成任何影响。
据悉,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密网络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击,从而实现窃取受害者的Google帐号密码等功能。
谷歌用这次事件强调证书透明度的必要性,打算修复SSL证书系统中的缺陷,这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是,采用CA框架使监控和审查这些证书,如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。
微评:法国相关部门通过违法证书的方法攻击Gmail帐号,实在是too simple,sometimes naive了,这种做法不但容易被抓住把柄,而且被揭穿后会声名狼藉,不可收拾,看看天朝就先进多了,直接通过电信运营商来劫持用户盗取密码,Google那里没有中国的网络环境根本发现不了,结果用户被黑了都不知道谁搞的,所以啊,中国用户使用Gmail,两步验证是必须的。
相关文章推荐
- Google发现法国政府伪造CA证书
- 发现GOOGLE的BLOG
- 大量客户反映wordpress的网站打开巨慢,经分析发现,这些网站大都使用了google的字体服务,由于最近google的服务已经被大陆屏蔽,所以wordpress的网站打开时,会卡在字体加载上。
- Google 发现邮件系统受到来自大陆的攻击,扬言可能撤出中国大陆
- 记录我发现的第一个关于 Google 的 Bug
- 发现google一个有趣的服务
- Google 发现的十大真理
- 刚刚发现不能支持Google广告代码和统计了
- 通过伪造CA证书,实现SSL中间人攻击
- 呵呵,才发现Google 企业应用套件和服务
- Google发布Chrome官方扩展DOM Snitch 可发现网页代码漏洞
- 新发现-google浏览尽然还有自动检测非法网站的功能
- 刚刚发现不能支持Google广告代码和统计了
- 快试试在google 搜索 “SB” 你有惊喜发现 百度同样
- 关于负载均衡和服务发现,Google的经验在这里
- [转]Google 发现的十大真理(我们的价值观)
- [转]Google发现的十大真理
- 哈哈,发现自己的博客也可以被Google第一个搜索出来
- Google 发现的十大真理
- Google刚刚发现 Fortnite安装程序有一个严重的安全漏洞