荷兰政府发布分析DigiNotar公司服务器的审计报告后,本周荷兰证书授予机构DigiNotar的泄漏范围扩大,报告显示了该公司不同CA服务器中的重大安全失误。
该报告由IT安全公司Fox-IT编写,他们发现DigiNotar网络已经“严重泄漏”并感染了超过二十台CA服务器。破坏的程度大大提高,CA服务器已发出了数以百计的针对20个不同领域签署的流氓证书。
一些专家表示,泄漏的严重性提醒了我们关于损坏证书系统的问题。一个总部设在英国的安全厂商,Sophos有限责任公司的高级安全顾问Chester Wisniewski表示,企业的首席信息安全官们(CISOs)需要了解他们的组织如何使用SSL证书,并提出应急计划以应对证书供应商的泄漏事故。除了在浏览器中使用SSL来验证网站的真实性,许多企业使用数字证书来验证SSL VPN和电子邮件服务器用户的身份。
“企业需要知道,如果他们的SSL VPN打断了用户或他们的电子商务系统让他们用户的业务衰退了(if their SSL VPN would break for their users or if their e-commerce system would falter with their customers),他们应该做些什么?”Wisniewski说道,“问问你自己,是否有一个可供选择的方案?”
企业可以从多个证书授予机构获得证书,从而使得一旦一台CA服务器泄漏了,他们还可以有一个确保网站验证的后备方案。替代当前系统的方案还在测试中,但直到谷歌,微软和Mozilla开始支持替代的真伪验证系统前,该系统是不可能改变的。Fox-IT报告促使浏览器制造商将DigiNotar证书拉入黑名单。
本周二,微软更新了它的安全公告,推出了针对支持所有Windows版本的自动更新,撤销对DigiNotar根证书的信任。微软表示,这保护了IE用户免受中间人攻击。流氓数字证书可以让攻击者制造假内容并执行网络钓鱼攻击。
“我们已经认为所有的DigiNotar证书都不可靠,并将它们移到不信任证书中存储(Untrusted Certificate Store),”微软可信赖计算主任Dave Forstrom在微软安全响应中心博客中这样写道,“我们认识到,这是一个行业的问题,我们一直积极在与证书授予机构,政府和软件厂商合作,以帮助保护我们共同的客户。”
微软针对荷兰用户的自动更新还要等一个星期。Mozilla和谷歌也采取了类似的措施,以阻止流氓数字证书。
“这不是一个暂时的停止,我们是将它完全从我们信任的根方案中清除了,”Firefox的工程总监Jonathan Nightingale在Mozilla的安全博客中这样写道,“完全撤销信任是我们慎重考虑后作出的决定,这也是我们最后的手段。”
之所以彻底清除受信任的根是因为泄漏的范围仍不明确,Nightingale解释道。此外,DigiNotar撤销了未通知Mozilla的欺诈性证书。
在9月3日发布的更新中,谷歌表示它已经拒绝了由DigiNotar进行的所有证书授予。“我们期望DigiNotar可以提供一份完整的情况分析,”谷歌信息安全经理Heather Adkins这样写道。
Fox-IT的报告,由荷兰政府发布,报告中发现了DigiNotar严重的网络问题。
“所有CA服务器都在一个Windows域,这使得通过一个用户名/密码组合就可以访问所有的服务器,”据DigiNotar泄漏报告,该报告可在荷兰政府网站Rijksoverheid上查看。“密码不是很强,而且容易被暴力破解。”
此外,审计调查发现DigiNotar公共Web服务器上安装过时的软件。目前被调查的服务器上没有防病毒保护,Fox-IT补充道。
从黑客活动留下的痕迹来看,可能来自伊朗,从6月19日持续到7月22日。攻击者们发出了数百个流氓证书,包括针对谷歌,Skype,Mozilla附加组件,微软更新和其他的SSL证书。
【编辑推荐】