来源:http://allinfa.com/ssl-false-key.html
近日,Mozilla公司 发布消息称,至少有一个假冒google的https安全证书被签 发,并且已经接到报告说假冒的https安全证书已经在某些地方使用。虚假的安全 证书有 可能将用户引导到不安全网站,导致用户信息泄露。Mozilla已经于即日更 新了他们的firefox和thunderbird,请用户升级到最新版本。 SSL证书颁发机构(SSLCertificateAuthority)DigiNotar证实其系统曾遭受入 侵,导致一系列网站得到了一些虚假的公钥证书,其中包括Google.com。 DigiNotar表示已经检测到了2011年7月19日发生的安全泄露问题,并删除了受影响 的证书。此外,有一家外部安全审计机构也证实虚假证书已被吊销。然而,谷歌接 收到的虚假证书却没被删除。 DigiNotar表示,发现至少有一个欺诈性的证书还尚未撤销。后来经荷兰政府组织 Govcert通知,立即采取行动,撤销了这些欺诈性证书。它还表示这次安全攻击只 是针对DigiNotar签发SSL和EVSSL证书的基础设施,其他类型证书的发布并未涉 及。 Firfox公司称,免疫的最低版本为Firefox:3.6.21或 6.0.1;Thunderbird:3.1.13或6.0.1 安全证书简介 网上传输的任何信息都有可能被恶意截获。所以技术人员开发了一种叫 SSL/TLS/HTTPS的技术保障我们的信息传输安全,这个技术可以将我们和网站服务 器的通信加密起来,不被第三方获取。 如果网站觉得它的用户资料很敏感,打算使用SSL/TLS/HTTPS加密,必须先向有 CA(CertificateAuthority)权限的公司/组织申请一个安全证书。有CA权限的公 司/组织都是经过全球审核,值得信赖的。 但如果安全证书的颁发机构怀有恶意,则用户的信息可能会被恶意获取。 有争议的安全证书 CNNIC(ChinaInternetNetworkInformationCenter,中国互联网络信息中心)于 2009年被有争议的通过,成为一个安全证书颁发机构。由于中共政府对网络信息的 严密审查,其信誉并没有得到国际认可,尤其是一些中国大陆网民。 有网络安全人士表示,CNNIC成为合法的CA,那它就能堂而皇之地制作并发布CA证 书。然后再配合GFW(中共网络防火墙)进行DNS的域名劫持。那GFW就可以轻 松破解任何网站的HTTPS加密传输。 这意味着CNNIC可以随意造一个假的证书给任何网站,替换网站真正的证书,从而 盗取我们的任何资料! 这名网络安全人士留言称:"GFW和CNNIC作为中共的2条走狗,一起进行中间人攻 击(一个负责DNS欺骗、一个负责伪造CA证书),简直是天生一对、黄金搭档啊!" 清理CNNIC安全证书的办法 安全人士建议,最好清理掉Firfox里的CNNIC安全证书,这样可以避免不必要的安 全问题。 清理的步骤如下: 先打开Firefox浏览器(它的证书体系独立于操作系统的)1、从菜单"工具"=>"选 项",打开选项对话框 2、切换到"高级"部份,选中"加密"标签页,点"查看证书"按钮。 3、在证书对话框中,切换到"证书机构"。 4、里面的证书列表是按字母排序的。把CNNIC打头的都删除,再把Entrust开头的 也删除。(清除Entrust是因为它签名信任CNNIC,我们同样也会连带被"信 任"CNNIC)清除之后,如果哪个我们需要访问的网站需要签名时,我们可以添加例 外。 �D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D�D需要翻墙利器? 请安装Wuala,查找 和添加gfwblog为好友,就可高速下载翻墙软件,或访问 http://tinyurl.com/gfwblog直接下载。 推特用户请点击这里免翻墙上推特 请点击这里下载翻墙软件 更多翻墙方法请发电邮(最好用Gmail)到:fanqiang7...@gmail.com 请阅读和关注中国数字时代、翻墙技术博客GFW BLOG(免翻墙) 请使用Google Reader订阅中国数字时代中文版 (http://chinadigitaltimes.net/chinese/feed),阅读最有价值的中文信 息;以及GFW BLOG(功夫网与翻 墙)http://feeds2.feedburner.com/chinagfwblog,获取最新翻墙工具和翻墙技 巧信息。 -- Posted By GFW BLOG 功夫网与翻墙 to GFW BLOG(功夫网与翻墙) at 9/04/2011 08:58:00 PM -- 1、我们的订阅地址:http://feeds2.feedburner.com/chinagfwblog。2、发一封标题为GFW的邮件到fanqiang7...@gmail.com,就可获取翻墙利器赛风新地址。附《数字时代》赠阅版。3、本站热烈欢迎各位朋友投稿或推荐文章,请发邮件至chinagfwblog[at]gmail.com。 停止订阅,请发邮件到 gfw-blog+unsubscr...@googlegroups.com