近期涉及Mozilla的决定可能会对合法从DigiNotar购买证书的网站构成问题内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于Mozilla的决定可能会对合法从DigiNotar购买证书的网站构成问题最新消息。
Mozilla将会发布新版本的Firefox,Firefox Mobile和Thunderbird,以撤销DigiNotar签署的针对各种Google服务的至少一个伪造SSL证书的证书。
Google还将在下一版Chrome操作系统(铬)中将DigiNotar标记为不受信任。微软紧随其后,从Windows 7,Vista,Server 2008和2008 R2的默认证书存储中删除了DigiNotar。
用户“ alibo”发布在Google的帮助论坛上8月28日的SSL证书屏幕截图,警告该证书在访问Gmail时出现在Chrome中。当“ alibo”尝试通过VPN连接访问Gmail时,没有出现警告。Alibo声称警告仅与google.com域有关,而不与Yahoo或Bing有关。
Alibo的帖子包括一个指向文本共享网站Pastebin的链接,其中包含8月27日对Gmail.com的伪造SSL证书的内容。该证书是由荷兰官方认证机构DigiNotar于7月10日发布的,这意味着该假冒产品证书的有效期至少为五个星期。该证书已于8月29日格林尼治标准时间(GMT)被荷兰CA撤销。
Sophos的高级安全顾问Chester Wisniewski在Naked Security博客上猜测Google和Mozilla的新版本是“因为DigiNotar尚未解释Google证书的签名方式并防止进一步滥用”。
DigiNotar验证并注册了荷兰各个政府和专业站点的证书。DigiNotar在今年1月被VASCO Data Security International收购。VASCO没有回应eWEEK关于可能发生的事情的评论或解释要求。
阿里博写道:“我认为我的ISP或我的政府进行了这次攻击(因为我住在,您可能会听到有关Comodo黑客的故事!)。” Alibo的互联网服务提供商是ParsOnline,但在论坛上声称另一个ISP上的朋友也遇到同样的问题。
今年早些时候,当攻击者设法获得经销商的登录凭据时,美国的证书颁发机构Comodo被诱骗为包括Google,Skype和Yahoo在内的少数网站颁发伪造的SSL证书。Comodo在可以使用之前立即吊销了证书。
卡巴斯基实验室的Roel Schouwenberg告诉eWEEK,DigiNotar证书是有效的,但是“没有确凿的证据证明攻击源。” 该证书可用于通过SSL窃听所有Google服务上的用户会话,并可能劫持用户会话,包括Gmail,安全搜索和Google+。Schouwenberg说,DigiNotar与政府机构有联系的事实使这种“情况更加棘手”。
目前尚不清楚问题的严重程度或影响的对象。
即使证书已被吊销,假冒的证书仍可能给用户带来麻烦,因为并非所有浏览器默认都会根据吊销列表检查证书。Wisniewski建议,其他浏览器尚未遵循Mozilla的脚步,但用户将“谨慎”地将DigiNotar从Web浏览器的受信任证书列表中删除,直到进一步澄清为止。但他指出,Mozilla的决定可能会对合法从DigiNotar购买证书的网站构成问题。
安全研究人员感到不安,试图找出可能发生的情况。DigiNotar并不是在说它是否已受到威胁,攻击者是否设法窃取了签署自己的证书所必需的密钥,或者是否欺骗了它假装是Google来签署证书。
“再次受到#Iran #government的#Google MiTM攻击?有人可以确认或提供pcap和traceroute吗?” 瑞典的独立安全顾问Hamid Kashfi发表在Twitter上。
维斯涅夫斯基(Wisniewski)指出,只有“间接”证据来支持有关政府使用该证书监视其公民的说法。虽然Comodo的首席执行官Melih Abdulhayoglu最初声称妥协是“肯定的”事实证明,这是一个与政府没有任何联系的孤独攻击者的工作。Moxie Marlinspike在推特上
说:“我认为将其归因于政府可能仍然有些困难。” “我们都知道上次情况如何。”
Marlinskpike在本月初的Black Hat会议上讨论了SSL和信任系统的问题,并推出了一个新的Convergence项目,以创建一个新的用户定义公证人系统,而不是依赖证书颁发机构。
在鼓励用户下载之前,Wisniewski说:“更多的证据表明,我们已经决定要“信任”的当前CA基础设施是完全不值得信任的。这无关紧要,它是如何发生的,发生在以前,不幸的是还会再次发生。” Marlinspike的Firefox插件和绕过证书颁发机构。
他说:“坦白地说,信任600多个证书颁发机构是相当大的信心。”
