業者全面防堵DigiNotar憑證　微軟釋出Windows更新

最近一連串的NigiNotar假憑證事件讓被波及的業者嚴陣以待，特別是作業系統業者與瀏覽器業者。瀏覽器業者已採取嚴厲防堵措施，不再信賴NigiNotar之外，微軟也釋出Windows更新，將所有NigiNotar SSL都列入黑名單。

憑證是用來檢驗網站的身份是否與所宣稱的一致，由於這些假冒的憑證的確是由憑證業者所頒發，使用者極容易就信以為真，駭客可透過這些假冒的憑證執行中間人（man-in-the-middle）攻擊，攔截使用者所輸入的機密資訊。

今年3月初傳出憑證業者Comodo合作夥伴的系統遭駭時，由於Comodo很快就找出被偽造的憑證並通知業者，瀏覽器業者只需簡單封鎖這些網域就可保護使用者。但今年7月被駭的DigiNotar卻未在第一時間通知業者，距離頒發假冒的Google憑證到事件曝光超過一個月，而且一直無法提供清楚的假憑證名單，讓使用者與業者措手不及。

DigiNotar被駭初期，包括Google與Mozilla除了封鎖已知的假冒憑證外，也關閉了對DigiNotar的憑證信賴，這代表當Chrome或Firefox用戶要連結由DigiNotar頒發憑證的網站時，會跳出警告視窗；不過，DigiNotar事件愈演愈烈，假冒憑證數量從200個竄升到500個，使得各家業者相繼祭出更嚴厲的防堵措施。

Google本周決定將拒絕所有由DigiNotar所操作的CA憑證，而Mozilla的旗下所有軟體都取消了對DigiNotar憑證的信賴。Mozilla強調，這並不是一個暫時性的作法，而是全然廢除DigiNotar的信賴基礎項目。此外，Google與Mozilla都要求DigiNotar應提供此一事件的完整分析。

微軟同樣也採取更積極的作法，先前已公布首個與DigiNotar憑證有關的安全通知，更新了作業系統中的可信賴憑證名單，當使用者透過IE連結使用可疑的DigiNotar憑證網站時，會跳出一警告視窗，但使用者仍能越過該警告視窗連結該站；為了全面抵擋可能的中間人攻擊，微軟進一步讓使用者連結相關網站時跳出錯誤訊息，阻斷用戶連至可疑網站的可能性；本周微軟再於作業系統中新增了5個來自DigiNotar的不可信賴根憑證。

微軟表示，在部署此一更新後，嘗試連結DigiNotar不可信賴憑證的IE用戶都會看到錯誤訊息，而且禁止連結，這些網站都將一直無法存取，直到它們改採其他可信賴憑證機構所頒發的新憑證為止。（編譯/陳曉莉）