SSL系统遭入侵发布虚假密钥微软谷歌受影响

楼主^#

更多发布于：2011-09-06 06:31

[] 1


	SSL证书颁发机构(SSL Certificate Authority)证实其系统曾遭受入侵，导致一系列网站得到了一些虚假的公钥证书，其中包括google.com。此外，荷兰网路信托服务专业公司DigiNotar的证书在谷歌、Mozilla和微软的浏览器上业已失效，尽管它表示已经检测到了2011年7月19日发生的安全泄露问题，并删除了受影响的证书。此外，有一家外部安全审计机构也证实虚假证书已被吊销。然而，谷歌接收到的虚假证书却没被删除。　　DigiNotar声称：“最近，我们发现至少有一个欺诈性的证书还尚未撤销。后来经荷兰政府组织Govcert通知，我们立即采取行动，撤销了这些欺诈性证书。”它还表示这次安全攻击只是针对DigiNotar签发SSL和EVSSL证书的基础设施，其他类型证书的发布并未涉及。　　DigiNotar的母公司Vasco告诉其投资者，DigiNotar的这次安全泄露不会给公司整体业绩造成巨大冲击，因为SSL业务每年盈利额还不到10万美元。这可能也是对谷歌、Mozilla和微软的回应，因为这三家公司已经在其浏览器产品中将DigiNotar移除，不再认定其为一家可信的SSL证书颁发机构。同时，这也引发了大家关于SSL证书颁发机构可信度的大讨论。我们不禁会联想到DigiNotar发布官方新闻稿的时机怎么会这么巧，而且更为奇怪的是，为什么在7月发现安全泄露事故的时候，它却没有发布相关信息。