Firefox 32支持 Public Key Pinning

 网络学院  没有评论 »
8月 282014
 

即将发布的Firefox 32将支持防止中间人攻击的Public Key Pinning机制。Public Key Pinning允许网站详细说明网站的有效证书是哪一家CA发行的,不再随便接受Firefox证书管理器内的数百家Root CA之一发行的证书。

这一机制可以抵御中间人攻击和恶意CA。如果证书不匹配,Firefox将会显示出错信息,拒绝连接。

Firefox 32将会默认启用Pinning,用户如果需要可在配置中将属性 security.cert_pinning.enforcement_level设为0后关闭这项功能。

印度CA发行商伪造Google、Yahoo的SSL证书,微软紧急更新吊销证书

 网络学院  没有评论 »
7月 112014
 

印度国家信息安全中心NIC被发现使用Indian CCA发行的次级CA 证书发行了多个假的Google和雅虎SSL证书(三个Google域名和一个雅虎域名,此外还有yahoo-inc.com、 yahooapis.com、static.com和gstatic.com等)。未授权的SSL证书可被用于发动中间人攻击,如嗅探内容和钓鱼。

Indian CCA被微软的Root Store所信任,伪造证书事件主要影响使用微软IE和其它Windows应用程序的用户,Firefox用户不受影响。

Indian CCA已经撤销了NIC持有的次级CA证书,声称原因是NIC的证书发行系统遭到了黑客入侵。

微软已经向其支持的操作系统发布了紧急更新,屏蔽了黑客发行的45个高度敏感的伪造SSL证书。

运行Windows 8、8.1、RT、RT 8.1、Server 2012、Server 2012 R2、Phone 8和Phone 8.1的系统将会收到撤销证书的更新;运行Windows Vista、7、Server 2008或erver 2008 RS的用户可以查看微软的说明。 Continue reading »

因TeliaSonera向独裁者销售证书,Mozilla考虑将其移除出CA信任列表

 网络学院  没有评论 »
4月 172013
 

浏览器默认信任的Root CA证书曾引起过许多次争论,如2010年Mozilla接受CNNIC Root CA证书就因为CNNIC的政府身份引发了安全方面的担忧:如果CNNIC滥用其CA信任,它可以帮助政府发动中间人攻击,解密加密流量。在Mozilla的安全邮件列表上,开发者开始讨论另一个Root CA供应商,争议是否将TeliaSonera移除出Root CA供应商列表,原因是TeliaSonera与公认的独裁或严重侵犯人权的国家和政府交往密切,开发者担心阿塞拜疆、哈萨克斯坦、格鲁吉亚、乌兹别克斯坦和塔吉克斯坦政府会利用TeliaSonera的CA监视国民,发行伪造的证书展开中间人攻击。

美安全公司Trustwave承认为客户提供“万能”SSL证书

 网络学院  没有评论 »
2月 102012
 

批评人士最近呼吁各大 IT 企业撤销对美国证书授权机构 (CA) 和安全公司 Trustwave 签发的 SSL 证书的信任 – 该公司刚刚承认了自己在完全肯定证书会被客户用于假冒不属于该客户的网站并实施中间人攻击的情况下, 仍然为客户签发了证书.

Trustwave 为该客户 (具体买主并未公开) 提供的是所谓的 “中间级证书”: 这一证书允许客户为互联网上的任何服务器签发被各种主流浏览器视为有效的 SSL 证书. 而这买主则将该证书用于对其内部网络用户使用 SSL 加密的网站和服务时的行为进行监控 – 利用受信任的假证书窃听用户与服务器间的通信, 这里的 “监控” 事实上已经属于中间人攻击. 另外, 为了避免该证书私钥被黑客窃走并用于非法用途, 该证书附有一个硬件反泄密系统保护其不被盗用.

尽管如此, 安全专家仍然认为这种情况不可接受, 并已经向谋智网络 (Mozilla) 发出呼吁要求该公司删除 Trustwave 在 Firefox 浏览器和 Thunderbird 邮件软件中的受信根证书. 他们认为, 依据谋智网络的根证书政策和其他软件公司类似的对 CA 证书的要求, Trustwave 的行为已经违反了 “不得故意在证书涉及的各方不知情的情况下签发证书” (即假冒其他服务器的证书) 这一原则.

安全专家也表示, Trustwave 坚持该证书只在客户的内部网络中使用并且不会外流这点在此事件中毫无意义. Christopher Soghoian, 一个要求谋智撤销对 Trustwave 信任的讨论组的一名成员, 写到: “虽然对 SSL 连接的拦截可能是基于合法理由的, 并且这个企业的员工可能完全知情, 但无论如何以上任何一点都不会改变一个事实 – Trustwave 签发的证书已经被用于冒充其他网站. 这种行为不仅完全无法接受, 并且已经违反了谋智的相关政策.” Continue reading »

荷兰政府废除Diginotar证书

 网络学院  没有评论 »
9月 052011
 

遭黑客攻击的Diginotar公司是荷兰政府网站唯一的CA证书供应商,现在荷兰政府认为使用Diginotar的证书风险太高,因此决定废除所有的证书。荷兰政府正在寻找新的CA供应商,并建议用户在收到无效CA证书警告时被不要访问该网站。

荷兰政府还向受影响的网站发布了被撤销的531个完整Diginotar证书清单(xlsx),包括了Google.com、skype.com、cia.gov、yahoo.com、twitter.com、 facebook.com、wordpress.com、live.com、mozilla.com、torproject.org。

建议用户永远不要信任以下CA root:DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA – G2, Koninklijke Notariele Beroepsorganisatie CA, Stichting TTP Infos CA。

 上一页