Google在上周五(3/20)發現數個假冒Google網域的數位憑證,這些憑證允許伺服器偽裝成Google網站。Google並揭露相關憑證的發行商為埃及的MCS中間憑證機構(intermediate Certificate Authority),而MCS的中間憑證則是由中國的根憑證機構CNNIC(中國互聯網絡信息中心)所發行。

Google安全工程師Adam Langley說明,由於所有主要的根憑證儲存庫都內含CNNIC,因此由CNNIC發行的憑證幾乎都會被所有的瀏覽器與作業系統視為可信賴憑證,只有Chrome與Firefox 33瀏覽器因內建更嚴苛的憑證確認機制而會拒絕相關憑證。

Langley表示,Google在發現後立即通知CNNIC與其他瀏覽器業者,同時也在Chrome中封鎖了MCS所發行的憑證。CNNIC則說他們與MCS的合約中規定MCS僅能發行該公司所註冊的網域憑證。

MCS將偽造的Google網域憑證安裝在執行SSL中間人(man-in-the-middle, MITM)流量管理的裝置中,讓企業的IT管理人員能夠攔截或檢查員工在上班時間連至Google伺服器的加密流量。Google表示,目前尚無跡象顯示這些憑證被惡意使用。然而,這個proxy裝置卻給予公共CA的完整授權,造成CA系統的重大漏洞,這個情況和2013年法國的ANSSI事件很像。但CNNIC仍然把憑證授予不適合持有的機構。

Google表示,目前為止Chrome使用者並不需特別採取諸如更新密碼等安全措施,Google也還在思考是否該採取什麼適當的行動,但這個事件再次彰顯出「憑證透明化」(Certificate Transparency)的重要。

Mozilla則表示,在MITM中使用中間憑證將允許憑證持有人監控或解碼使用者自內部網路連至任何網站的流量,甚至連瀏覽器都不會出現警告訊息,若是被駭客利用,可能會將使用者引導至含有惡意內容的網站。Mozilla還指出,CA管理機構告訴他們,這個行為是不被允許的,因此已經撤銷該中間人憑證機構載入防火牆裝置中的憑證。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容