蓝点网
给你感兴趣的内容!

谷歌警告称存在一个未经授权的证书危害所有操作系统

谷歌称,在 3 月 20 日发现有未经授权的数字证书,冒充成受信任的谷歌的域名。

由一家叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由 CNNIC 发布的。谷歌警告称此证书可能会冒充其他网站。

CNNIC 包含在所有主要操作系统的受信任的根证书存储区中,所以其颁发的证书被几乎所有浏览器和操作系统所信任。包括 Windows、OS X、Linux 等系统。

谷歌已经就此事及时通知了 CNNIC 和其他主流浏览器厂商,我们阻止了 chrome 信任 MCS 的证书。

CNNIC22 日解释称 MCS 只会在其已经注册拥有的域名上颁发证书。

然而,MCS 没有把私匙放在合适的 HSM,MCS 把它安装在中间人代理设备上。

这些设备伪装成安全连接,用来拦截 MCS 雇员的安全通讯用以监视雇员或者其他目的。

雇员的计算机通常必须被配置为信任代理才能够做到这一点。

然而,MCS 为了简单省事,直接将证书颁发到公共受信任证证书。这种做法严重违反了证书信任系统的规则。

这种解释是符合事实的。然而,CNNIC 还签发了不适合 MCS 持有的证书权利和预期母的。

由于谷歌已经使用了 CRLSet 更新,所以 Chrome 用户不需要采取任何行动。我们并不建议人们更改密码,或采取其他行动。

再次,此事件也凸显了互联网证书颁发机制公开透明的必须要。

在 twitter 上,谷歌发言人补充道:”我们理解 MCS 只是想查看他们的员工的通讯内容。”

Mozilla 发言人随后称对 MCS 颁发的中级证书将在即将到来的 Firefox 37 中被吊销。

转载请注明来源于蓝点网及本文链接:蓝点网 » 谷歌警告称存在一个未经授权的证书危害所有操作系统
分享到: (0)
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 8

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #7
    Unknown Unknown Unknown Unknown

    早已不信任,谢谢鸭子哥

    myc922年前 (2015-03-27)回复
  2. #6
    Unknown Unknown Unknown Unknown

    省政府新闻办打电话来称,“谷歌称 CNNIC 发布中间人攻击证书”一文需要立刻删除——月光博客鸭子哥,你不删,不删还是不删?

    我祗是2年前 (2015-03-26)回复
  3. #5
    Unknown Unknown Unknown Unknown

    ifanrpal2年前 (2015-03-25)回复
  4. #4
    Unknown Unknown Unknown Unknown

    求停止使用 CNNIC 证书的图文教程

    我祗是2年前 (2015-03-25)回复
  5. #3
    Unknown Unknown Unknown Unknown

    等你在雨中2年前 (2015-03-25)回复
  6. #2
    Unknown Unknown Unknown Unknown

    哈哈哈哈哈,水一水

    kong2年前 (2015-03-25)回复
  7. #1
    Unknown Unknown Unknown Unknown

    木头科学二百五2年前 (2015-03-25)回复