Google表示,在3月20日发现针对几个Google域名的未经授权数字证书。这些证书由MCS控股公司所有的一个中间证书机构CNNIC(中国互联网络信息中心)颁发。
CNNIC几乎存在于所有的主要根商店中,因此几乎所有的浏览器及操作系统都会信任这个被错误颁发的证书。Windows中的Chrome、OS X、Linux、ChromeOS以及Firefox 33等由于公钥定位的存在都会拒绝这些证书,但其他站点可能存在。
我们及时将该事件通知了CNNIC以及其他主要浏览器,并且通过CRLSet推送拦截了MCS控股公司的证书。CNNIC在22日回应解释了他们跟MCS控股公司签署的合同表明,MCS只会为所注册域名颁发证书。然而,MCS并没有把密钥存储在一个合适的高速存储器(HSM)中,而是安装在中间人代理中。这些设备会为伪装成预期目的地拦截安全链接,有时候公司还会出于监控或法律原因,拦截员工的安全流量。在正常情况下,员工的计算机必须被配置为信任这一代理。然而,在当前情况下,假定的代理为一个公共证书颁发机构提供了全部授权,这是对证书颁发机构系统的严重入侵。这个情况类似于ANSSI在2013年所经历的失败。
这个解释与事实不符。但CNNIC仍然还授予没有资格拥有权限的组织。
Chrome用户无需采取任何行动以得到CRLSet更新的保护。我们没有发现被滥用的迹象,而且我们不建议大家修改密码或采取其他措施。目前我们正在考虑还应采取哪些适当措施。
这一事件再次强调了证书透明性对于保护未来证书安全至关重要。
(软件供应商的证书链详情请见此处。)
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。