谷歌称CNNIC发布中间人攻击证书

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

  根据谷歌官方安全博客报道,谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书,而MCS集团的中级证书则来自中国的CNNIC

  该证书冒充成受信任的谷歌的域名,被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。

  谷歌联系了CNNIC,CNNIC在3月22日回应称,CNNIC向MCS发行了一个无约束的中级证书,MCS本应该只向它拥有的域名发行证书,但MCS将其安装在一个防火墙设备上充当中间人代理,伪装成目标域名,用于执行加密连接拦截(SSL MITM)。企业如出于法律或安全理由需要监控员工的加密连接,必须限制在企业内网中,然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证书,这种做法严重违反了证书信任系统的规则。这种解释符合事实,然而,CNNIC还是签发了不适合MCS持有的证书。

谷歌称CNNIC发布中间人攻击证书

  CNNIC作为根CA被几乎所有操作系统和浏览器信任,谷歌已经将这些情况通知了所有的主流浏览器,谷歌所有版本的Chrome浏览器(包括Windows、OS X、Linux版)、Firefox等浏览器都会拦截这些证书,Firefox从 37开始 将引入 OneCRL机制,将建立证书黑名单,拦截被滥用及不安全的证书。

  这件事情再次显示,互联网证书颁发机制公开透明的必要性。

  谷歌英文博客原文:Maintaining digital certificate security

  Mozilla英文博客原文:Revoking Trust in one CNNIC Intermediate Certificate

随意打赏

提交建议
微信扫一扫,分享给好友吧。