土耳其证书颁发机构screwup试图谷歌模拟

残破的挂锁礼貌Shutterstock的有些日子里,我觉得自己像一个破纪录不断重复 同样的故事 。今天的重复米姆?导致谷歌用户的证书颁发机构颁发的证书窥探。

谷歌首次检测到问题,使用Chrome浏览器的证书钉扎 ,12月24日,根据的博客文章题为“加强数字证书的安全性。”

这标题是有点误导,因为这个通知是不是在所有积极加强安全的数字证书,而更多的扫荡从一个大的事故。

一个未知的谷歌Chrome浏览器的用户已知悉一个有效签名的谷歌证书,其实没有属于谷歌。

有人试图对用户的安全通信对谷歌拟执行的man-in-the-middle攻击。

我们不知道在哪里发生这种情况,但它在技术上并没有太大关系。这意味着证书颁发机构颁发的证书的人不应该有他们的人,或者被攻破。

我想它的意思是什么我之前所说的,我们不能信任的证书颁发机构的SSL / TLS系统。它坏了,我不相信它可以很容易地固定。

TurkTrust SSL标志谷歌看着证书上的签名链,并确定了假的*。google.com证书是由一个中间证书颁发机构获得了它的权威来自土耳其CA TURKTRUST。

这中间证书看上去很奇怪,其实这是非常奇怪的。这是不应该存在的。

TURKTRUST报案后,发现出了意外,而不是正常的站点证书发出两个中间证书于2011年8月,包括使用谷歌签署假证书。

中级证书到底是什么?不解释的的整个SSL / TLS证书的过程中,中间证书本质上是一个主键,可以创建证书的任何域名。

这些证书可以使用,模仿任何网站的任何浏览器,而无需通知最终用户,什么是错的。还是一个挂锁,仍显示为有效的一切。

当你相信的挂锁在您的浏览器的安全性是一个指标,你不只是信任〜150可信任CA的Mozilla浏览器,微软和谷歌。

EFF SSL天文台根据EFF的SSL天文台 ,采样在2010年在MS Windows的Firefox用户遇到了1,482种不同的签发机构(包括中级证书),所有这些普通用户会盲目相信。

你是信任,不是一个单一的其中之一已决定与他人串通,想窥探您的流量,没有一人有一个病毒或已被黑客入侵,并没有他们被迫由政府帮助了一个窃听。

咳。

因此,我们再次通过撤销这些证书和决定投入多少未来的信任TURKTRUST时的过程。

谷歌一直在阻止Chrome用户的误发的中间证书自12月26日签署的证书。本月晚些时候,他们将撤销证书,签署TURKTRUST似乎有扩展验证(在地址栏的绿色亮点)的能力。

微软今天发布了咨询,撤销所有所有支持的Windows版本的中间证书签名的证书。 Windows 8/Server 2012/RT用户将得到自动更新,那些使用旧版本的Windows都需要使用Windows Update。

Mozilla的标志 Mozilla的发出声明,宣布他们将被撤销两个中间证书下周二,1月8日(太平洋标准时间大概)的下一个版本的Firefox。

此外,Mozilla将暂时停止TURKTRUST的根证书完全,有待进一步审查。

歌剧尚未作出评论,尽管用户可以手动删除TURKTRUST从受信任的根证书颁发机构列表中,如果他们选择。

苹果,一如既往,并没有发表意见时,或者如果他们将采取行动,以保护Safari和iOS用户对这些证书的任何后果。

这是真正的时间,我们从20岁,执行不力的系统。无论是公共密钥钢钉扩展HTTP融合 ,信任的证书密钥( )或DNSSEC-TLS的断言,我们已经得到了捡东西,并开始实施。

它并不需要击败我们所拥有的是完美的。我们的乐趣争论十年在会议上对这些建议的优点和缺点。这是我们去上班的时间。

残破的的挂锁图像由Shutterstock的。