搜索
查看: 1480|回复: 2

谷歌称CNNIC发布中间人攻击证书

[复制链接]
  • TA的每日心情
    奋斗
    2017-6-9 15:29
  • 签到天数: 74 天

    [LV.6]常住居民II

    454

    主题

    1812

    帖子

    2万

    积分

    管理员

    Rank: 28Rank: 28Rank: 28Rank: 28Rank: 28Rank: 28Rank: 28

    积分
    23479
    发表于 2015-3-25 16:45 | 显示全部楼层 |阅读模式

    根据谷歌官方安全博客报道,谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书,而MCS集团的中级证书则来自中国的CNNIC

      该证书冒充成受信任的谷歌的域名,被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。

      谷歌联系了CNNIC,CNNIC在3月22日回应称,CNNIC向MCS发行了一个无约束的中级证书,MCS本应该只向它拥有的域名发行证书,但MCS将其安装在一个防火墙设备上充当中间人代理,伪装成目标域名,用于执行加密连接拦截(SSL MITM)。企业如出于法律或安全理由需要监控员工的加密连接,必须限制在企业内网中,然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证书,这种做法严重违反了证书信任系统的规则。这种解释符合事实,然而,CNNIC还是签发了不适合MCS持有的证书。

      CNNIC作为根CA被几乎所有操作系统和浏览器信任,谷歌已经将这些情况通知了所有的主流浏览器,谷歌所有版本的Chrome浏览器(包括Windows、OS X、Linux版)、Firefox浏览器都会拦截这些证书,Firefox从37版开始引入OneCRL机制,建立证书黑名单,拦截被滥用及不安全的证书。

      这件事情再次显示,互联网证书颁发机制公开透明的必要性。

      谷歌英文博客原文:Maintaining digital certificate security

      Mozilla英文博客原文:Revoking Trust in one CNNIC Intermediate Certificate

      参考资料:中国互联网络信息中心(China Internet Network Information Center,缩写为CNNIC),是经中华人民共和国国务院主管部门批准,于1997年6月3日成立的互联网管理和服务机构。中国互联网络信息中心成立伊始,由中国科学院主管;2014年末,改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管。


    via:http://www.williamlong.info/archives/4183.html


    吊销方法:


    推荐DO注册:
    https://www.digitalocean.com/?refcode=de66f5a659fc
    优惠码SHIPITFAST。(免费获得10刀!)

    (目前本论坛就在这Digitalcean里,(*^__^*) 嘻嘻……!
    104302
  • TA的每日心情
    开心
    2017-4-3 07:32
  • 签到天数: 324 天

    [LV.8]以坛为家I

    22

    主题

    361

    帖子

    6012

    积分

    论坛元老

    积分
    6012
    发表于 2015-3-26 17:32 | 显示全部楼层
    互联网证书颁发机制公开透明的必要性。公开透明
  • TA的每日心情
    开心
    2015-3-27 20:00
  • 签到天数: 1 天

    [LV.1]初来乍到

    1

    主题

    3

    帖子

    49

    积分

    新手上路

    Rank: 1

    积分
    49
    发表于 2015-3-27 20:02 | 显示全部楼层
    这事干得真有够无耻
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    手机版|Archiver|GoAgent论坛  

    GMT+8, 2019-7-17 00:35 , Processed in 0.079963 second(s), 28 queries .

    快速回复 返回顶部 返回列表