墙外楼: Google发现法国政府伪造CA证书

墙外楼 网络热门话题追踪

Free Bestselling eBooks It's easy: sign up in under 10 seconds, tell us what kind of eBooks you love & we'll email you a list of deals every day - FREE! Join now! From our sponsors

Google发现法国政府伪造CA证书 Dec 13th 2013, 01:21, by 墙外仙 　据谷歌官方安全博客报道，谷歌发现一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。谷歌宣布立即更新Chrome吊销了这个证书，并通知了ANSSI和其它浏览器供应商。 　谷歌在博客中指出，中间证书里包含了所有的CA授权，所以任何人只要得到这样的一张中间证书，就可以用它伪造出任何一张他想要得到的网站证书，这样就可以在用户知情的情况下监视加密网络流量。例如"破解Google Gmail的https新思路"里提到的攻击方式。 　ANSSI随后发表声明，称发行伪造证书是一次人为错误，表示没有对整体网络安全造成任何影响。 　据悉，ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件，在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量，劫持Google的加密网络服务，例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击，从而实现窃取受害者的Google帐号密码等功能。 　谷歌用这次事件强调证书透明度的必要性，打算修复SSL证书系统中的缺陷，这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是，采用CA框架使监控和审查这些证书，如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。 　微评：法国相关部门通过违法证书的方法攻击Gmail帐号，实在是too simple，sometimes naive了，这种做法不但容易被抓住把柄，而且被揭穿后会声名狼藉，不可收拾，看看天朝就先进多了，直接通过电信运营商来劫持用户盗取密码，Google那里没有中国的网络环境根本发现不了，结果用户被黑了都不知道谁搞的，所以啊，中国用户使用Gmail，两步验证是必须的。 本文免翻墙链接：亚马逊镜像 相关日志 2013/12/03 -- 路由=入口？先手种下一道"生死符" ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/11/27 -- 美国国安局通过网络光缆截取信息 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/11/04 -- 科技公司强化信息加密对抗政府监控 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/11/04 -- 《金融时报》斯诺登爆料引起德企警觉 德国要求欧美贸易协定纳入数据保护条款 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/10/11 -- LBE 安全大师 V5.1 公测版不 root 也能卸载预装软件，是何原理？ ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/08/09 -- 《纽约时报》美国国安局监控目标何其多 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/08/03 -- 纽约女记者网上搜高压锅资料 FBI登门抄水表 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/07/11 -- 《纽约时报》中美战略经济对话，黑客问题各不相让 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/07/04 -- 防火防盗防奇虎 360上传证券期货用户名密码 证券机构惊慌自卫 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 ) 2013/07/01 -- 一个监控性质的政府 ( 本文免翻墙链接： 亚马逊镜像 | 谷歌镜像 )

You are receiving this email because you subscribed to this feed at blogtrottr.com. If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions