在谷歌揭露在其域名中发现了法国的网络安全防御部, Agence nationale de la sécurité des systèmes d’information (ANSSI)的伪造数字证书。
谷歌在其安全博客中宣称,一个中间证书发行了此伪造证书,并把此证书链接到ANSSI。
“中间证书携带着所有的CA授权,所以任何人只要得到这样的一张中间证书就可以用它伪造出任何一张他想要得到的网站证书。”谷歌在博客中这样写道。
从ANSSI的说辞中,网络防御组织揭露出中间证书实际上是ANSSI自己的基础设施管理的信任管理架构,或者说就是"L’infrastructure de gestion de la confiance de l’administration" (IGC/A)。ANSSI对于法国来说本身就是网络响应和分割监测机制。
ANSSI声明伪造证书是一种“随着使用过程而产生为了保障IT更加安全,却造成了人为错误”的结果.这种错误对于整个网络安全来说并不造成影响,对法国的政府和普通大众也不会造成什么影响。
谷歌认为证书被运用于商业设备中,在私人网络环境中使用,识别和监测加密流量。根据谷歌的说话,用户在上网的时候要倍加留意此类事情的发生,但是操作却违反了ANSSI的程序原则。
谷歌用这次事件强调证书透明度的必要性,打算修复SSL证书系统中的缺陷,这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是,采用CA框架使监控和审查这些证书,如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。
当这种框架被CA采纳通过的时候,其效果归根结底有赖于打算加入哪一种CA。
这已经不是第一次SSL证书漏洞被曝光事件了。美国国家安全局曾被控通过未被授权的证书使用中间人攻击来对抗谷歌。此外,在2011年8月,DigiNotar漏洞事件中,另一个发现一名伊朗黑客制造出了恶意证书来对付谷歌的域名。拦截用户的Gmail密码。
