Diginotar承认黑客在7月中旬入侵系统,给自己发行了数十个伪造CA证书。Computerworld的报导称, 伪造证书数量可能超过200个,其中包括了许多重量级的网站,如Mozilla、Yahoo和Tor项目——这一数字远高于Diginotar承认的数 量。
荷兰安全公司Madison Gurka创始人Hans Van de Looy引用匿名消息来源透露,攻击者发行了大约200个证书。Mozilla已经证实,它接到Diginotar的通知,旗下网站 addons.mozilla.org被黑客发行了伪造的CA证书,该证书随后被撤销。
目前Diginotar的CA已被各大浏览器列入不可信名单。
上个月的流言变成了现实,巴基斯坦电信管理局向所有ISP发去通知, 命令ISP在发现用户使用VPN浏览网页时通知当局。因为VPN加密过的网络通信会让官方无法窃听和监视。通知称,任何要使用VPN的人都需要先得到当局 给予的特别许可。
巴基斯坦当局坚称,此举是为了阻止恐怖分子利用VPN通信,但批评者指出这就像因自杀性爆炸者使用汽车而禁止汽车。
伊朗Gmail用户报告发现了DigiNotar公司发行的伪造Gmail CA证书,它可能被用于发动中间人攻击。DigiNotar的母公司Vasco 30日发表声明承认遭黑客入侵。
Vasco称,DigiNotar是在7月19日检测到CA基础系统遭入侵,黑客为包括Google.com在内的多个网站发行了伪造CA证书。此后,DigiNotar立即按照既定规则采取行动,立即撤销所有伪造证书。但最近的事件显示,至少有一个伪造证书在当时没被撤销。该公司表示将采取一切可能的预防措施确保CA安全,目前将暂停CA证书销售。
Google和Mozilla都分别为Chrome和Firefox发布补丁移除了DigiNotar root CA,微软也将为Windows XP、Windows Server 2003、Windows Vista、Server 2008、Windows 7和Server 2008 R2发布补丁,将其列入不信任CA名单。 Continue reading »
blackhat 发表于 2011年8月30日 16时28分 来自顺便把CNNIC也删除部门
伊朗政府被怀疑利用伪造但有效的CA证书对伊朗Gmail用户发动中间人攻击。在Gmail帮助论坛和Bugzilla,Gmail用户报告发现了荷兰机构DigiNotar发行的CA证书,发行时间是2011年7月10日,证书本身是有效的,因此可被利用发动中间人攻击,将用户流量流经其它路由。
DigiNotar已经在周一宣布撤回该证书。Mozilla表示将发布更新,移除DigiNotar root CA。此次攻击与年初发生的伪造Comodo CA证书如出一辙。Firefox用户如果想立即移除DigiNotar root CA,可以从“选项”——“选项”——“加密”——“查看证书”,然后找到DigiNotar root CA,点击“删除或不信任”。
误解七:HTTPS无法缓存
许多人以为,出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。
微软的IE项目经理Eric Lawrence写道:
“说来也许令人震惊,只要HTTP头允许这样做,所有版本的IE都缓存HTTPS内容。比如,如果头命令是Cache-Control: max-age=600,那么这个网页就将被IE缓存10分钟。IE的缓存策略,与是否使用HTTPS协议无关。(其他浏览器在这方面的行为不一致,取决 于你使用的版本,所以这里不加以讨论。)”
Firefox默认只在内存中缓存HTTPS。但是,只要头命令中有Cache-Control: Public,缓存就会被写到硬盘上。下面的图片显示,Firefox的硬盘缓存中有HTTPS内容,头命令正是Cache-Control:Public。 Continue reading »
SSL协议由美国 NetScape公司开发的,V1.0版本从没有公开发表过;V2.0版本于1995年2月发布。但是,由于V2.0版本有许多安全漏洞,所以,1996年紧接着就发布了V3.0版本。
SSL协议 V2.0 主要安全漏洞:
(1) 同一加密密钥用于消息身份验证和加密。
(2) 弱消息认证代码结构和只支持不安全的MD5哈希函数。
(3) SSL握手过程没有采取任何防护,这意味着非常容易遭遇中间人攻击。
(4) 使用TCP连接关闭,以指示数据的末尾(没有明确的会话关闭通知)。这意味着截断攻击是可能的:攻击者只需伪造一个TCP FIN,使得接受方无法识别数据结束消息的合法性。
(5) 仅能提供单一服务和绑定一个固定域名,这与Web服务器中的虚拟主机标准功能有冲突,这意味着,许多网站都无法使用SSL。
因为SSL v2.0协议存在许多安全漏洞问题,容易遭遇中间人攻击和容易被破解。但是,由于许多系统和Web服务器都还支持SSL v2.0协议,所以为了增强用户浏览网页的安全,目前所有主流新版浏览器都已经不支持不安全的SSL v2.0协议。 Continue reading »
你的SSL 服务器是否存在着错误的配置和已知的漏洞?这些不安全的因素会给企业网络带来极大的安全风险。遵循下面这些技巧可以使你避免一些常见的SSL安全错误,让你远离风险。
1、禁用对SSLv2的支持。该版本的SSL协议在15多年前就被证明是不安全的,但如今有许多Web服务器仍在使用它。
禁用此协议用了不多少时间。例如,在Apache v2中,你需要对默认为配置进行改变:
将:SSLProtocol all
变为:SSLProtocol all -SSLv2
2、禁用对弱加密的支持。几乎所有的Web服务器都支持强加密算法(128位)或极强的加密算法(256位),但许多服务器还在支持弱加密,黑客们会利用这个漏洞来损害企业网络安全。我们没有理由支持弱加密,只需用很短的时间来配置服务器就可以禁用弱加密: Continue reading »