DigiNotar CA泄漏范围扩大 微软及荷兰政府采取行动

安全
在荷兰政府发布分析DigiNotar公司服务器的审计报告后,本周荷兰证书授予机构DigiNotar的违规范围扩大,报告显示了该公司不同CA服务器中的重大安全失误。

荷兰政府发布分析DigiNotar公司服务器的审计报告后,本周荷兰证书授予机构DigiNotar的泄漏范围扩大,报告显示了该公司不同CA服务器中的重大安全失误。

该报告由IT安全公司Fox-IT编写,他们发现DigiNotar网络已经“严重泄漏”并感染了超过二十台CA服务器。破坏的程度大大提高,CA服务器已发出了数以百计的针对20个不同领域签署的流氓证书。

一些专家表示,泄漏的严重性提醒了我们关于损坏证书系统的问题。一个总部设在英国的安全厂商,Sophos有限责任公司的高级安全顾问Chester Wisniewski表示,企业的首席信息安全官们(CISOs)需要了解他们的组织如何使用SSL证书,并提出应急计划以应对证书供应商的泄漏事故。除了在浏览器中使用SSL来验证网站的真实性,许多企业使用数字证书来验证SSL VPN和电子邮件服务器用户的身份。

“企业需要知道,如果他们的SSL VPN打断了用户或他们的电子商务系统让他们用户的业务衰退了(if their SSL VPN would break for their users or if their e-commerce system would falter with their customers),他们应该做些什么?”Wisniewski说道,“问问你自己,是否有一个可供选择的方案?”

企业可以从多个证书授予机构获得证书,从而使得一旦一台CA服务器泄漏了,他们还可以有一个确保网站验证的后备方案。替代当前系统的方案还在测试中,但直到谷歌,微软和Mozilla开始支持替代的真伪验证系统前,该系统是不可能改变的。Fox-IT报告促使浏览器制造商将DigiNotar证书拉入黑名单。

本周二,微软更新了它的安全公告,推出了针对支持所有Windows版本的自动更新,撤销对DigiNotar根证书的信任。微软表示,这保护了IE用户免受中间人攻击。流氓数字证书可以让攻击者制造假内容并执行网络钓鱼攻击。

“我们已经认为所有的DigiNotar证书都不可靠,并将它们移到不信任证书中存储(Untrusted Certificate Store),”微软可信赖计算主任Dave Forstrom在微软安全响应中心博客中这样写道,“我们认识到,这是一个行业的问题,我们一直积极在与证书授予机构,政府和软件厂商合作,以帮助保护我们共同的客户。”

微软针对荷兰用户的自动更新还要等一个星期。Mozilla和谷歌也采取了类似的措施,以阻止流氓数字证书。

“这不是一个暂时的停止,我们是将它完全从我们信任的根方案中清除了,”Firefox的工程总监Jonathan Nightingale在Mozilla的安全博客中这样写道,“完全撤销信任是我们慎重考虑后作出的决定,这也是我们最后的手段。”

之所以彻底清除受信任的根是因为泄漏的范围仍不明确,Nightingale解释道。此外,DigiNotar撤销了未通知Mozilla的欺诈性证书。

在9月3日发布的更新中,谷歌表示它已经拒绝了由DigiNotar进行的所有证书授予。“我们期望DigiNotar可以提供一份完整的情况分析,”谷歌信息安全经理Heather Adkins这样写道。

Fox-IT的报告,由荷兰政府发布,报告中发现了DigiNotar严重的网络问题。

“所有CA服务器都在一个Windows域,这使得通过一个用户名/密码组合就可以访问所有的服务器,”据DigiNotar泄漏报告,该报告可在荷兰政府网站Rijksoverheid上查看。“密码不是很强,而且容易被暴力破解。”

此外,审计调查发现DigiNotar公共Web服务器上安装过时的软件。目前被调查的服务器上没有防病毒保护,Fox-IT补充道。

从黑客活动留下的痕迹来看,可能来自伊朗,从6月19日持续到7月22日。攻击者们发出了数百个流氓证书,包括针对谷歌,Skype,Mozilla附加组件,微软更新和其他的SSL证书。

【编辑推荐】

  1. 微软首次发布IE 10兼容性补丁
  2. SSL系统遭入侵发布虚假密钥 微软谷歌受影响
  3. 微软补丁星期二:修复关键IE和Windows DNS漏洞
  4. 著名女黑客大赞微软在安全方面的进步
  5. 微软7月补丁:蓝牙可被黑客利用为所欲为
责任编辑:Writer 来源: tt网络
相关推荐

2011-09-08 12:05:21

2021-10-29 16:30:40

Windows 11Windows微软

2022-10-21 10:16:30

零信任边界安全

2016-01-07 10:47:15

2009-02-24 09:19:05

雅虎CTO职能

2023-09-08 10:40:31

CIOAIGC

2020-11-27 10:29:02

云计算

2023-10-11 07:12:00

2021-12-01 07:49:57

Windows 11操作系统微软

2010-06-01 10:45:36

Facebook

2020-10-27 10:01:09

Windows 10Windows10月更新

2017-08-11 14:03:31

卡巴斯基

2013-11-29 10:09:37

谷歌用户数据

2010-05-18 16:43:14

微软IIS

2021-11-30 10:46:33

法规网络安全恶意短信

2022-03-29 13:41:30

加密货币漏洞日本

2022-03-03 13:30:55

Log4j漏洞网络攻击

2020-08-05 10:17:20

云计算CEO云平台

2022-11-23 14:19:43

2009-05-31 16:00:22

微软开源政府
点赞
收藏

51CTO技术栈公众号