荷蘭政府發(fā)布分析DigiNotar公司服務(wù)器的審計報告后，本周荷蘭證書授予機構(gòu)DigiNotar的泄漏范圍擴(kuò)大，報告顯示了該公司不同CA服務(wù)器中的重大安全失誤。

該報告由IT安全公司Fox-IT編寫，他們發(fā)現(xiàn)DigiNotar網(wǎng)絡(luò)已經(jīng)“嚴(yán)重泄漏”并感染了超過二十臺CA服務(wù)器。破壞的程度大大提高，CA服務(wù)器已發(fā)出了數(shù)以百計的針對20個不同領(lǐng)域簽署的流氓證書。

一些專家表示，泄漏的嚴(yán)重性提醒了我們關(guān)于損壞證書系統(tǒng)的問題。一個總部設(shè)在英國的安全廠商，Sophos有限責(zé)任公司的高級安全顧問Chester Wisniewski表示，企業(yè)的首席信息安全官們（CISOs）需要了解他們的組織如何使用SSL證書，并提出應(yīng)急計劃以應(yīng)對證書供應(yīng)商的泄漏事故。除了在瀏覽器中使用SSL來驗證網(wǎng)站的真實性，許多企業(yè)使用數(shù)字證書來驗證SSL VPN和電子郵件服務(wù)器用戶的身份。

“企業(yè)需要知道，如果他們的SSL VPN打斷了用戶或他們的電子商務(wù)系統(tǒng)讓他們用戶的業(yè)務(wù)衰退了（if their SSL VPN would break for their users or if their e-commerce system would falter with their customers），他們應(yīng)該做些什么？”Wisniewski說道，“問問你自己，是否有一個可供選擇的方案？”

企業(yè)可以從多個證書授予機構(gòu)獲得證書，從而使得一旦一臺CA服務(wù)器泄漏了，他們還可以有一個確保網(wǎng)站驗證的后備方案。替代當(dāng)前系統(tǒng)的方案還在測試中，但直到谷歌，微軟和Mozilla開始支持替代的真?zhèn)悟炞C系統(tǒng)前，該系統(tǒng)是不可能改變的。Fox-IT報告促使瀏覽器制造商將DigiNotar證書拉入黑名單。

本周二，微軟更新了它的安全公告，推出了針對支持所有Windows版本的自動更新，撤銷對DigiNotar根證書的信任。微軟表示，這保護(hù)了IE用戶免受中間人攻擊。流氓數(shù)字證書可以讓攻擊者制造假內(nèi)容并執(zhí)行網(wǎng)絡(luò)釣魚攻擊。

“我們已經(jīng)認(rèn)為所有的DigiNotar證書都不可靠，并將它們移到不信任證書中存儲（Untrusted Certificate Store），”微軟可信賴計算主任Dave Forstrom在微軟安全響應(yīng)中心博客中這樣寫道，“我們認(rèn)識到，這是一個行業(yè)的問題，我們一直積極在與證書授予機構(gòu)，政府和軟件廠商合作，以幫助保護(hù)我們共同的客戶。”

微軟針對荷蘭用戶的自動更新還要等一個星期。Mozilla和谷歌也采取了類似的措施，以阻止流氓數(shù)字證書。

“這不是一個暫時的停止，我們是將它完全從我們信任的根方案中清除了，”Firefox的工程總監(jiān)Jonathan Nightingale在Mozilla的安全博客中這樣寫道，“完全撤銷信任是我們慎重考慮后作出的決定，這也是我們最后的手段。”

之所以徹底清除受信任的根是因為泄漏的范圍仍不明確，Nightingale解釋道。此外，DigiNotar撤銷了未通知Mozilla的欺詐性證書。

在9月3日發(fā)布的更新中，谷歌表示它已經(jīng)拒絕了由DigiNotar進(jìn)行的所有證書授予。“我們期望DigiNotar可以提供一份完整的情況分析，”谷歌信息安全經(jīng)理Heather Adkins這樣寫道。

Fox-IT的報告，由荷蘭政府發(fā)布，報告中發(fā)現(xiàn)了DigiNotar嚴(yán)重的網(wǎng)絡(luò)問題。

“所有CA服務(wù)器都在一個Windows域，這使得通過一個用戶名/密碼組合就可以訪問所有的服務(wù)器，”據(jù)DigiNotar泄漏報告，該報告可在荷蘭政府網(wǎng)站Rijksoverheid上查看。“密碼不是很強，而且容易被暴力破解。”

此外，審計調(diào)查發(fā)現(xiàn)DigiNotar公共Web服務(wù)器上安裝過時的軟件。目前被調(diào)查的服務(wù)器上沒有防病毒保護(hù)，F(xiàn)ox-IT補充道。

從黑客活動留下的痕跡來看，可能來自伊朗，從6月19日持續(xù)到7月22日。攻擊者們發(fā)出了數(shù)百個流氓證書，包括針對谷歌，Skype，Mozilla附加組件，微軟更新和其他的SSL證書。

【編輯推薦】

1. 微軟首次發(fā)布IE 10兼容性補丁
2. SSL系統(tǒng)遭入侵發(fā)布虛假密鑰 微軟谷歌受影響
3. 微軟補丁星期二：修復(fù)關(guān)鍵IE和Windows DNS漏洞
4. 著名女黑客大贊微軟在安全方面的進(jìn)步
5. 微軟7月補?。核{(lán)牙可被黑客利用為所欲為