站内公告:

SMF - Just Installed!

Main Menu

SSL系统遭入侵发布虚假密钥

作者 phitaautoda, 2011-01-04, 11:57:22

« 上一篇主题 - 下一篇主题 »

phitaautoda

近日,Mozilla公司 发布消息称,至少有一个假冒google的https安全证书被签发,并且已经接到报告说假冒的https安全证书已经在某些地方使用。虚假的安全证书有 可能将用户引导到不安全网站,导致用户信息泄露。Mozilla已经于即日更新了他们的firefox和thunderbird,请用户升级到最新版本。

SSL证书颁发机构(SSLCertificateAuthority)DigiNotar证实其系统曾遭受入侵,导致一系列网站得到了一些虚假的公钥证书,其中包括Google.com。

DigiNotar表示已经检测到了2011年7月19日发生的安全泄露问题,并删除了受影响的证书。此外,有一家外部安全审计机构也证实虚假证书已被吊销。然而,谷歌接收到的虚假证书却没被删除。

DigiNotar表示,发现至少有一个欺诈性的证书还尚未撤销。后来经荷兰政府组织Govcert通知,立即采取行动,撤销了这些欺诈性证书。它还表示这次安全攻击只是针对DigiNotar签发SSL和EVSSL证书的基础设施,其他类型证书的发布并未涉及。

Firfox公司称,免疫的最低版本为Firefox:3.6.21或6.0.1;Thunderbird:3.1.13或6.0.1。

来源:http://allinfa.com/ssl-false-key.html