印度机构造SSL"假证书" 威胁Gmail安全

安全 数据安全
近日CA根证书下的印度证书认证控制机构和印度国家信息中心被曝错误签发了证书,可被黑客利用针对Google/Yahoo的https等加密服务进行窃听、欺骗或钓鱼,威胁Gmail等加密服务。为此微软紧急发布安全公告,并推送补丁吊销这批假证书。

[[116306]]

近日CA根证书下的印度证书认证控制机构和印度国家信息中心被曝错误签发了证书,可被黑客利用针对Google/Yahoo的https等加密服务进行窃听、欺骗或钓鱼,威胁Gmail等加密服务。为此微软紧急发布安全公告,并推送补丁吊销这批假证书。

 

 

印度国家信息安全中心NIC被发现使用Indian CCA发行的次级CA证书发行了多个假的Google和雅虎SSL证书(三个Google域名和一个雅虎域名,此外还有yahoo-inc.com、 yahooapis.com、static.com和gstatic.com等)。未授权的SSL证书可被用于发动中间人攻击,如嗅探内容和钓鱼。

Indian CCA被微软的Root Store所信任,伪造证书事件主要影响使用微软IE和其它Windows应用程序的用户。Indian CCA已经撤销了NIC持有的次级CA证书,声称原因是NIC的证书发行系统遭到了黑客入侵。

微软安全公告宣布开始移除该证书。公告显示,此问题会影响所有受支持的Microsoft Windows版本。目前,微软的Windows8、Windows8.1、Server2012、Server2012 R2版本,以及运行的Windows Phone8或Windows Phone的8.1设备会自动更新撤销证书,针对其他Microsoft Windows操作系统,微软为用户提供了撤销证书的补丁。

责任编辑:林琳 来源: 2cto.com
相关推荐

2013-09-12 10:48:33

印度Gmail禁止

2009-08-14 13:27:43

2009-08-27 17:23:57

SSL证书网站安全

2009-08-14 15:05:33

2009-02-18 16:12:34

IT外包印度中国IT业

2010-03-23 11:41:47

2012-02-04 09:53:36

2014-11-07 10:26:05

2019-11-20 15:09:25

安全威胁SSL加密

2020-06-23 08:04:46

SSL证书信息安全网络安全

2018-03-18 15:34:04

2011-09-20 13:41:54

Gmail微软企业邮箱

2011-09-20 09:56:13

Google微软电子邮件

2009-08-14 13:34:21

SSL证书 EV SSL在线交易

2010-12-02 10:05:24

2009-08-14 11:51:35

EV SSLCA数字证书

2010-05-25 11:05:34

2012-01-08 00:19:21

2020-12-31 08:08:23

SSL证书企业
点赞
收藏

51CTO技术栈公众号