Google發表一份資安通報顯示,土耳其數位憑證(CA)頒發機構TURKTRUST誤發兩份中繼數位憑證(intermediate certificate authority),其中一份被改造為*.Google.com網域的憑證。目前包含Chrome、IE及Firefox都已經或即將撤除這兩份憑證的效用。
Google表示,聖誕夜(2012/12/24)時Chrome偵測到一個非正式授權的網域憑證,經查之後發現是由TURKTRUST發出的中繼數位憑證改造而成。中繼數位憑證擁有發出機構的所有權限,因此可以改造成任何網域的數位憑證,並用於欺騙內容的釣魚攻擊或中間人攻擊等。
Google立即封鎖該憑證,並通知TURKTRUST與其他瀏覽器廠商,TURKTRUST告知該憑證是他們在2011年八月誤發的兩份中繼數位憑證之一。一般來說憑證頒發機構只會提供SSL憑證給申請人,而非帶有整個機構權限的中繼數位憑證。Google並在12/26封鎖了另一個憑證,並通知其他瀏覽器廠商。Google計畫在一月升級Chrome時,取消TURKTRUST憑證的擴展驗證狀態,但使用者仍可透過加密連線HTTPS使用。
微軟在資安通告中指出,TURKTRUST發出兩份中介機構數位憑證給*.EGO.GOV.TR 及e-islem.kktcmerkezbankasi.org,前者被改造成google網域的憑證。
微軟表示,所有的作業系統平台都受到影響,但除了Windows XP及Windows Server 2003需要確認是否已經透過更新安裝自動更新可信任憑證名單的Certificate Trust list(CTL)之外,Windows 8/RT、Windows Phone 8、Windows Server 2012等其他較新版本的作業系統去年六月起都已經安裝CTL,因此使用者不需要做任何處理。
Mozilla則指出,TURKTRUST誤發的中繼憑證被用於中間人攻擊。Firefox瀏覽器除了將在1月8日釋出的更新中把該兩個憑證撤銷之外,由於TURKTRUST申請在Firefox 18 beta中新增一個根憑證(root certificate),但在發生誤發中繼數位憑證事件之後,Mozilla對TURKTRUST的其他私鑰的保密性有所疑慮,因此將TURKTRUST的兩個根憑證列入暫停使用名單之中。(編譯/沈經)
熱門新聞
2026-02-23
2026-02-23
2026-02-20
2026-02-23
2026-02-23
2026-02-23