青青子衿, 悠悠我心, 但为君故, 沉吟至今
« iOS版支付宝被曝安全漏洞Instapaper为什么会限时免费 »

Google发现法国政府伪造CA证书

  据谷歌官方安全博客报道,谷歌发现一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。谷歌宣布立即更新Chrome吊销了这个证书,并通知了ANSSI和其它浏览器供应商。

  谷歌在博客中指出,中间证书里包含了所有的CA授权,所以任何人只要得到这样的一张中间证书,就可以用它伪造出任何一张他想要得到的网站证书,这样就可以在用户知情的情况下监视加密网络流量。例如“破解Google Gmail的https新思路”里提到的攻击方式。

  ANSSI随后发表声明,称发行伪造证书是一次人为错误,表示没有对整体网络安全造成任何影响。

  据悉,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密网络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击,从而实现窃取受害者的Google帐号密码等功能。

Google发现法国政府伪造CA证书

  谷歌用这次事件强调证书透明度的必要性,打算修复SSL证书系统中的缺陷,这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是,采用CA框架使监控和审查这些证书,如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。

  微评:法国相关部门通过违法证书的方法攻击Gmail帐号,实在是too simple,sometimes naive了,这种做法不但容易被抓住把柄,而且被揭穿后会声名狼藉,不可收拾,看看天朝就先进多了,直接通过电信运营商来劫持用户盗取密码,Google那里没有中国的网络环境根本发现不了,结果用户被黑了都不知道谁搞的,所以啊,中国用户使用Gmail,两步验证是必须的。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3690.html
  • 文章排行:
  • 1.扇贝网cheka
  • 我国铁道部都懒得伪造证书,自己瞎签一个,这才是大国风范,谷歌微软什么的都惊呆了!
  • 2013/12/13 8:04:22   支持(42)反对(6) 回复
  • 3.潇湘START
  • 中国政府不知道干不干,法国到先开始了。
  • 2013/12/13 7:58:21   支持(13)反对(9) 回复
  • 4.星夜独行客
  • 赞一个,顺便说下,什么时候能x掉CNNIC的...
    234 于 2014-7-24 17:04:38 回复
    把痛苦都反弹给你们这些网上傻逼


  • 2013/12/13 8:01:22   支持(10)反对(6) 回复
  • 5.Jiangshui
  • - -,我说怎么今天 goagent 的证书,在使用 google 搜索时提示证书有风险。。
  • 2013/12/12 22:34:34   支持(11)反对(10) 回复
  • 6.咸阳英忠通信_工程师
  • CA证书:由能提供法律担保的公司机构有偿提供
  • 2013/12/13 8:10:22   支持(13)反对(12) 回复
  • 7.乡下饭桶
  • 前些日子有个文章是关于一个非常复杂的对gmail 的攻击,其中除了电信的参与还有国内的某发行商配合发了一个假证书。Big brother are watching you!
  • 2013/12/13 8:18:23   支持(11)反对(11) 回复
  • 8.D
  • Gmail使用的是https,中国运营商劫持攻击不了的
  • 2014/1/5 12:29:20   支持(8)反对(8) 回复
  • 9.huchingcn
  • 我大12306连个证书都没。。。
  • 2013/12/13 8:07:22   支持(8)反对(10) 回复
  • 11.呉剣Online
  • 天朝铁道部早就自己瞎倒腾了一个!完全不把安全放在眼里,谷歌、微软等小伙伴们都惊呆了。
  • 2013/12/13 8:14:23   支持(7)反对(13) 回复
  • 12.如影随行忙着
  • 这东西有什么危害吗
  • 2013/12/12 19:52:51   支持(5)反对(12) 回复
  • 13.只看不回
  • 工行,建行,U 盾也要安装证书,也是自己做的证书。
  • 2013/12/15 9:48:58   支持(6)反对(13) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.