7 月 19 日,位于荷兰的数字证书颁发机构 DigiNotar,为网络犯罪分子颁发了证书,这使得黑客可以向许多域发送欺诈公钥证书请求,包括搜索引擎巨头谷歌所拥有的网站,让黑客获得了使用流氓 SSL 证书劫持 Gmail 帐户,以及使用 SSL 和 EVSSL 数字证书欺诈安全网站的能力。
该盗用证书潜在地影响了试图访问 Google 旗下网站的互联网用户,并可用于欺骗 Web 内容,进行钓鱼攻击或对最终用户执行中间人攻击。这是继今年 3 月 Comodo和 6 月 StartSSL 数字证书遭盗用之后,又一起黑客攻击数字证书系统的恶劣事件。
事件发生后,DigiNotar 撤销了欺诈证书并暂停出售其 SSL 和 EVSSL 证书。Google Chrome 和 Mozilla Firefox 目前已禁用了对 DigiNotar 证书的支持,微软表示其也已经为 Windows Vista 和 Windows 7 用户从受信任的根证书列表中删除了 DigiNotar 根证书。
SSL 数字证书是被用来判定网站为可信状态的工具,安装有 SSL 数字证书的网站的 URL 以“https”开头,并会在地址栏(IE 7及其他部分浏览器)或状态栏(早期 IE版本的窗口底部)显示黄色小锁,代表该网站已经使用了 SSL 加密技术的防护。而安装有 EVSSL 证书的网站不仅具有以上特征,更会使地址栏变为绿色,让用户一目了然地了解该网站是真实可信赖的。
作为提供可信 SSL 认证服务的 CA(数字证书认证中心,DigiNotar 即为 CA 之一)公司,如果被黑客攻击或入侵,其造成的恶劣影响可想而知。如此一来,谁还能信赖这家 CA 所提供的可信认证服务呢?
此次证书盗用事件暴露出一些 CA 公司在数字证书核颁程序上审核不严的漏洞,同时再次提醒广大网络业者,选择 SSL证书品牌时,应需先详细了解该品牌的背景与资质,以防止所使用品牌的数字证书被盗用而连累自己的网站利益受损。
作为提供数字证书认证服务的领导厂商之一,GlobalSign 对证书的审核采取极其严格的程序。证书申请者必须提供充足且可验证的信息材料,例如企业申请者申请必须出具营业执照、组织机构代码证,甚至要求出具第三方资质认证等材料。正是这种严谨的证书审核流程以及对网络业者和用户严格负责的态度,让 GlobalSign 可以为全世界的客户提供优良的服务和专业的支持。
4497
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
