黑客已經(jīng)從一個證書授予機構(gòu)取得數(shù)字證書，這使得他們可以向許多域發(fā)送欺詐公鑰證書請求，包括搜索引擎巨頭谷歌所擁有的網(wǎng)站。

VASCO數(shù)據(jù)安全國際公司的子公司，位于荷蘭的證書頒發(fā)機構(gòu)DigiNotar，為網(wǎng)絡(luò)犯罪分子頒發(fā)了證書，使他們獲得了使用流氓SSL證書劫持Gmail帳戶，以及使用SSL和EVSSL數(shù)字證書（為安全考慮同時向用戶證明其合法性）欺詐安全的網(wǎng)站的能力。這次違反操作發(fā)生在7月19日。在VASCO發(fā)出的一份聲明中，該公司表示它們已撤銷了所有的詐騙證書。

“最近，我們發(fā)現(xiàn)，至少有一個欺詐性的證書在那時還沒有被撤銷，”該公司表示，“在荷蘭政府組織Govcert發(fā)出通知后，DigiNotar立即采取行動撤銷了欺詐證書。”

這次攻擊是針對DigiNotar用來頒發(fā)其數(shù)字證書的系統(tǒng)。目前，證書頒發(fā)機構(gòu)暫停出售其SSL和EVSSL證書，直到得出其他安全審計結(jié)論為止。VASCO表示，運行其強認證業(yè)務(wù)的系統(tǒng)沒有受到這次違反的影響。關(guān)于被盜證書的詳細信息已于上周六發(fā)布到一個公共論壇上。

本周一，谷歌回應(yīng)了流氓證書，聲稱它已經(jīng)在Chrome瀏覽器中禁用了DigiNotar證書頒發(fā)機構(gòu)。谷歌表示，證書的主要影響在伊朗的人。此外，Mozilla也已經(jīng)禁用了對該證書的支持。

“這表示，如果Chrome和Firefox的用戶試圖訪問使用DigiNotar證書的網(wǎng)站，那么他們將收到通知，”谷歌的信息安全經(jīng)理Heather Adkins在谷歌在線安全博客中這樣寫道，“為了幫助防止不必要的監(jiān)視，我們建議用戶，特別是那些在伊朗的用戶，保持網(wǎng)絡(luò)瀏覽器和操作系統(tǒng)的更新，并注意Web瀏覽器的安全警告。”

本周一，微軟發(fā)布了一個安全公告，表示其已經(jīng)為Windows Vista和Windows 7用戶從受信任的根證書列表中刪除了DigiNotar根證書。

“該證書潛在的影響了那些試圖訪問Google旗下網(wǎng)站的互聯(lián)網(wǎng)用戶，”微軟可信賴計算主任Dave Forstrom在微軟安全響應(yīng)中心博客中寫道，“欺詐證書可用于欺騙Web內(nèi)容，進行釣魚攻擊或?qū)ψ罱K用戶執(zhí)行中間人攻擊。”

攻擊者過去曾有針對性的攻擊證書頒發(fā)機構(gòu)。今年三月，在黑客入侵了一個Comodo公司登記管理機關(guān)合作伙伴的系統(tǒng)后，他們從Comodo公司偷走了證書。該泄漏導(dǎo)致了在七個Web域發(fā)布了九個欺詐證書，包括搜索引擎巨頭谷歌和雅虎。一位伊朗黑客聲稱對這次SSL證書偷竊負責(zé)。Comodo公司表示，Comodo根鍵（root keys），中間計算機結(jié)構(gòu)（intermediate CAs）或安全硬件沒有收到損害。

【編輯推薦】

1. 世界黑客大牛的排名網(wǎng)站
2. 少年黑客的網(wǎng)絡(luò)江湖
3. 防Anonymous和LulzSec黑客！這五招夠不？
4. 黑客在大會展示破解Wi-Fi的間諜飛機