Google发现Symantec内部私造Google主域名EV证书

来自Google安全博客的消息,Google安全与隐私产品经理Stephan Somogyi和证书透明度产品经理Adam Eijdenberg撰文称Symantec内部私造了Google主域名的EV证书(EV:扩展验证)。

Symantec是世界顶级的安全机构之一,也是世界知名的ROOT CA机构,非常多的知名站点均使用Symantec颁发的证书。

然而,Google的两位产品经理在格林尼治时间2015年9月14日19:20发现了一个不同寻常的EV证书。

Google发现Symantec内部私造Google主域名EV证书

(中间人攻击示意图)

该证书由Symantec旗下Thawte CA颁发,颁发给Google.com与www.Google.com,而Google一直是使用自家CA(由Geo Trust Global CA颁发)颁发的证书。

也就是说Google发现的这枚证书,其实是伪造的,尽管该证书的有效期仅为1天。

这枚证书由Google Chrome自动转发证书的透明度信息而被Google发现,证书颁发者是Symantec旗下Thawte CA颁发。

Google称该证书的颁发既没有Google预认证也没有通知过Google需要制作这枚证书,Google已联系Symantec进行讨论。

实际这枚证书是Symantec内部测试时使用被Google Chrome自动转发才被Google发现的。

Google已经紧急启动了Chrome的吊销证书数据已阻止该证书的继续使用。

Google声明目前没有情况表明Google的安全性与隐私权受到威胁,Google也将继续与Symantec磋商。

此前,埃及中级CA曾伪造过Google旗下邮箱Gmail的证书被Google发现,该中级CA的证书由*国国家互联网管理机构CN*NIC颁布(CN*NIC ROOT),该事件一度导致Google宣布吊销CN*NIC颁发的所有证书。

一般情况下伪造证书基本都是为了劫持,尤其是现在越来越多的中间人攻击,如果拥有合法CA颁发的伪造证书,将更加方便的窃取用户的隐私数据。

(参考:Google Online Security

本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

6 条评论,访客:6 条,站长:0 条
  1. KC1127
    KC1127发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    "实际这枚证书是Symantec内部测试时使用被Google Chrome自动转发才被Google发现的。"\r\n\r\n两者都是贼…….

  2. 等你在雨中
    等你在雨中发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    我想问CN*NIC证书现在可以被信任了嘛?

    • 小布
      小布发布于: 
      蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

      你认为呢?

      • 等你在雨中
        等你在雨中发布于: 
        蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

        禁用之后有一些网页加载不出来 比如百度文库\r\n有没有解决办法?

发表评论