在谷歌揭露在其域名中發現了法國的網絡安全防御部, Agence nationale de la sécurité des systèmes d’information (ANSSI)的偽造數字證書。
谷歌在其安全博客中宣稱,一個中間證書發行了此偽造證書,并把此證書鏈接到ANSSI。
“中間證書攜帶著所有的CA授權,所以任何人只要得到這樣的一張中間證書就而已用它偽造出任何一張他想要得到的網站證書。”谷歌在博客中這樣寫道。
從ANSSI的說辭中,網絡防御組織揭露出中間證書實際上是ANSSI自己的基礎設施管理的信任管理架構,或者說就是"L’infrastructure de gestion de la confiance de l’administration" (IGC/A)。ANSSI對于法國來說本身就是網絡響應和分割監測機制。
ANSSI聲明偽造證書是一種“隨著使用過程而產生為了保障IT更加安全,卻造成了人為錯誤”的結果.這種錯誤對于整個網絡安全來說并不造成影響,對法國的政府和普通大眾也不會造成什么影響。
谷歌認為證書被運用于商業設備中,在私人網絡環境中使用,識別和監測加密流量。根據谷歌的說話,用戶在上網的時候要倍加留意此類事情的發生,但是操作卻違反了ANSSI的程序原則。
谷歌用這次事件強調證書透明度的必要性,打算修復SSL證書系統中的缺陷,這種缺陷易導致中間人進攻和網絡欺詐。谷歌針對此類漏洞的對策是,采用CA框架使監控和審查這些證書,如此來排除流氓CA或者當違規證書企圖進入的時候進行隔離。
當這種框架被CA采納通過的時候,其效果歸根結底有賴于打算加入哪一種CA。
這已經不是第一次SSL證書漏洞被曝光事件了。美國國家安全局曾被控通過未被授權的證書使用中間人攻擊來對抗谷歌。此外,在2011年8月,DigiNotar漏洞事件中,另一個發現一名伊朗黑客制造出了惡意證書來對付谷歌的域名。攔截用戶的Gmail密碼。
京公網安備 11010502049343號