Google 在上星期五發現多個假冒 Google 網域的數位憑證,相關憑證讓伺服器偽裝成 Google 網:據 Google 指,發行上述憑證的機構為埃及 MCS 中間憑證機構,而 MCS 的中間憑證則由中國的根憑證機構 CNNIC 頒發。
可對加密流量內容進行攔截與檢查
Google 日前在其資安網誌上宣佈指,其團隊正維護 Google 憑證相關的資安事故。而 Google 的安全工程師 Adam Langley 就作說明,指由於所有主要的根憑證儲存庫都含有 CNNIC,故此幾乎都會被所有瀏覽器及 OS 均會視由 CNNIC 頒發的憑證為可信賴的憑證,只有 Chrome 及 Firefox 33 會因自身較嚴苛的憑證確認機制而拒絕相關憑證。
Langley 續指,Google 在發現上述情況後隨即就通知 CNNIC 及其他瀏覽器廠商,同時亦即時更新 Chrome 的安全機制,對 MCS 發行的憑證作出封鎖。
Google 表示,目前尚無上述憑證被惡意使用的跡象與事件被回報。目前 Chrome 用戶並不需特別採取任何行動以升級其資安保障,
MCS 能夠將偽造的 Google 網域憑證安裝到執行 SSL 中間人 (man-in-the-middle,MITM) 流量管理的裝置上,讓企業 IT 管理員可以對員工於公作空間內連到 Google 伺服器的加密流量進行攔截與檢查。
Mozilla 則表示,在 MITM 中使用中間憑證將允許憑證持有人監控及對內部網路用戶的對外連接解密,而瀏覽器亦不會出現警告訊息:直此若此漏洞被黑客利用,就有可能將用戶引導至惡意網站。而事實上此行為是不被允許,故此 CA 管理機構向 Mozilla 表示已撤銷該中間人憑證機構載入防火牆裝置中的憑證。
Source:Google