蓝点网
给你感兴趣的内容

Google发现Symantec内部私造Google主域名EV证书

来自Google安全博客的消息,Google安全与隐私产品经理Stephan Somogyi和证书透明度产品经理Adam Eijdenberg撰文称Symantec内部私造了Google主域名的EV证书(EV:扩展验证)。

Symantec是世界顶级的安全机构之一,也是世界知名的ROOT CA机构,非常多的知名站点均使用Symantec颁发的证书。

然而,Google的两位产品经理在格林尼治时间2015年9月14日19:20发现了一个不同寻常的EV证书。

Google发现Symantec内部私造Google主域名EV证书

(中间人攻击示意图)

该证书由Symantec旗下Thawte CA颁发,颁发给Google.com与www.Google.com,而Google一直是使用自家CA(由Geo Trust Global CA颁发)颁发的证书。

也就是说Google发现的这枚证书,其实是伪造的,尽管该证书的有效期仅为1天。

这枚证书由Google Chrome自动转发证书的透明度信息而被Google发现,证书颁发者是Symantec旗下Thawte CA颁发。

Google称该证书的颁发既没有Google预认证也没有通知过Google需要制作这枚证书,Google已联系Symantec进行讨论。

实际这枚证书是Symantec内部测试时使用被Google Chrome自动转发才被Google发现的。

Google已经紧急启动了Chrome的吊销证书数据已阻止该证书的继续使用。

Google声明目前没有情况表明Google的安全性与隐私权受到威胁,Google也将继续与Symantec磋商。

此前,埃及中级CA曾伪造过Google旗下邮箱Gmail的证书被Google发现,该中级CA的证书由*国国家互联网管理机构CN*NIC颁布(CN*NIC ROOT),该事件一度导致Google宣布吊销CN*NIC颁发的所有证书。

一般情况下伪造证书基本都是为了劫持,尤其是现在越来越多的中间人攻击,如果拥有合法CA颁发的伪造证书,将更加方便的窃取用户的隐私数据。

(参考:Google Online Security

转载请注明蓝点网 » Google发现Symantec内部私造Google主域名EV证书
分享到:
除非特别注明否则下列评论均不代表本站观点

评论 6

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #3
    Unknown Unknown Unknown Unknown

    木头科学二百五2年前 (2015-09-26)回复
  2. #2
    Unknown Unknown Unknown Unknown

    "实际这枚证书是Symantec内部测试时使用被Google Chrome自动转发才被Google发现的。"\r\n\r\n两者都是贼…….

    KC11272年前 (2015-09-21)回复
  3. #1
    Unknown Unknown Unknown Unknown

    我想问CN*NIC证书现在可以被信任了嘛?

    等你在雨中2年前 (2015-09-21)回复
    • Unknown Unknown Unknown Unknown

      你认为呢?

      小布2年前 (2015-09-21)回复
    • Unknown Unknown Unknown Unknown

      反正我禁用了

      山外的鸭子哥2年前 (2015-09-21)回复
      • Unknown Unknown Unknown Unknown

        禁用之后有一些网页加载不出来 比如百度文库\r\n有没有解决办法?

        等你在雨中2年前 (2015-09-21)回复