据谷歌官方安全博客报道,谷歌发现一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。谷歌宣布立即更新Chrome吊销了这个证书,并通知了ANSSI和其它浏览器供应商。
谷歌在博客中指出,中间证书里包含了所有的CA授权,所以任何人只要得到这样的一张中间证书,就可以用它伪造出任何一张他想要得到的网站证书,这样就可以在用户知情的情况下监视加密网络流量。例如“破解Google Gmail的https新思路”里提到的攻击方式。
ANSSI随后发表声明,称发行伪造证书是一次人为错误,表示没有对整体网络安全造成任何影响。
据悉,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密网络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击,从而实现窃取受害者的Google帐号密码等功能。
谷歌用这次事件强调证书透明度的必要性,打算修复SSL证书系统中的缺陷,这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是,采用CA框架使监控和审查这些证书,如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。
微评:法国相关部门通过违法证书的方法攻击Gmail帐号,实在是too simple,sometimes naive了,这种做法不但容易被抓住把柄,而且被揭穿后会声名狼藉,不可收拾,看看天朝就先进多了,直接通过电信运营商来劫持用户盗取密码,Google那里没有中国的网络环境根本发现不了,结果用户被黑了都不知道谁搞的,所以啊,中国用户使用Gmail,两步验证是必须的。