This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

土耳其证书颁发机构screwup试图谷歌模拟

Filed Under: Apple Safari, Featured, Firefox, Google, Google Chrome, Internet Explorer, Privacy, Vulnerability, Web Browsers

残破的挂锁礼貌Shutterstock的有些日子里,我觉得自己像一个破纪录不断重复 同样的故事 。今天的重复米姆?导致谷歌用户的证书颁发机构颁发的证书窥探。

谷歌首次检测到问题,使用Chrome浏览器的证书钉扎 ,12月24日,根据的博客文章题为“加强数字证书的安全性。”

这标题是有点误导,因为这个通知是不是在所有积极加强安全的数字证书,而更多的扫荡从一个大的事故。

一个未知的谷歌Chrome浏览器的用户已知悉一个有效签名的谷歌证书,其实没有属于谷歌。

有人试图对用户的安全通信对谷歌拟执行的man-in-the-middle攻击。

我们不知道在哪里发生这种情况,但它在技术上并没有太大关系。这意味着证书颁发机构颁发的证书的人不应该有他们的人,或者被攻破。

我想它的意思是什么我之前所说的,我们不能信任的证书颁发机构的SSL / TLS系统。它坏了,我不相信它可以很容易地固定。

TurkTrust SSL标志谷歌看着证书上的签名链,并确定了假的*。google.com证书是由一个中间证书颁发机构获得了它的权威来自土耳其CA TURKTRUST。

这中间证书看上去很奇怪,其实这是非常奇怪的。这是不应该存在的。

TURKTRUST报案后,发现出了意外,而不是正常的站点证书发出两个中间证书于2011年8月,包括使用谷歌签署假证书。

中级证书到底是什么?不解释的的整个SSL / TLS证书的过程中,中间证书本质上是一个主键,可以创建证书的任何域名。

这些证书可以使用,模仿任何网站的任何浏览器,而无需通知最终用户,什么是错的。还是一个挂锁,仍显示为有效的一切。

当你相信的挂锁在您的浏览器的安全性是一个指标,你不只是信任〜150可信任CA的Mozilla浏览器,微软和谷歌。

EFF SSL天文台根据EFF的SSL天文台 ,采样在2010年在MS Windows的Firefox用户遇到了1,482种不同的签发机构(包括中级证书),所有这些普通用户会盲目相信。

你是信任,不是一个单一的其中之一已决定与他人串通,想窥探您的流量,没有一人有一个病毒或已被黑客入侵,并没有他们被迫由政府帮助了一个窃听。

咳。

因此,我们再次通过撤销这些证书和决定投入多少未来的信任TURKTRUST时的过程。

谷歌一直在阻止Chrome用户的误发的中间证书自12月26日签署的证书。本月晚些时候,他们将撤销证书,签署TURKTRUST似乎有扩展验证(在地址栏的绿色亮点)的能力。

微软今天发布了咨询,撤销所有所有支持的Windows版本的中间证书签名的证书。 Windows 8/Server 2012/RT用户将得到自动更新,那些使用旧版本的Windows都需要使用Windows Update。

Mozilla的标志 Mozilla的发出声明,宣布他们将被撤销两个中间证书下周二,1月8日(太平洋标准时间大概)的下一个版本的Firefox。

此外,Mozilla将暂时停止TURKTRUST的根证书完全,有待进一步审查。

歌剧尚未作出评论,尽管用户可以手动删除TURKTRUST从受信任的根证书颁发机构列表中,如果他们选择。

苹果,一如既往,并没有发表意见时,或者如果他们将采取行动,以保护Safari和iOS用户对这些证书的任何后果。

这是真正的时间,我们从20岁,执行不力的系统。无论是公共密钥钢钉扩展HTTP融合 ,信任的证书密钥( )或DNSSEC-TLS的断言,我们已经得到了捡东西,并开始实施。

它并不需要击败我们所拥有的是完美的。我们的乐趣争论十年在会议上对这些建议的优点和缺点。这是我们去上班的时间。

残破的的挂锁图像由Shutterstock的。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.