谷歌在其安全博客中宣稱,一個(gè)中間證書發(fā)行了此偽造證書�����,并把此證書鏈接到ANSSI.
“中間證書攜帶著所有的CA授權(quán)����,所以任何人只要得到這樣的一張中間證書就而已用它偽造出任何一張他想要得到的網(wǎng)站證書��。”谷歌在博客中這樣寫道。
從ANSSI的說辭中��,網(wǎng)絡(luò)防御組織揭露出中間證書實(shí)際上是ANSSI自己的基礎(chǔ)設(shè)施管理的信任管理架構(gòu)��,或者說就是"L‘infrastructure de gestion de la confiance de l’administration" (IGC/A)�。ANSSI對于法國來說本身就是網(wǎng)絡(luò)響應(yīng)和分割監(jiān)測機(jī)制。
ANSSI聲明偽造證書是一種“隨著使用過程而產(chǎn)生為了保障IT更加安全���,卻造成了人為錯(cuò)誤”的結(jié)果��。這種錯(cuò)誤對于整個(gè)網(wǎng)絡(luò)安全來說并不造成影響��,對法國的政府和普通大眾也不會造成什么影響�。
谷歌認(rèn)為證書被運(yùn)用于商業(yè)設(shè)備中��,在私人網(wǎng)絡(luò)環(huán)境中使用����,識別和監(jiān)測加密流量。根據(jù)谷歌的說話���,用戶在上網(wǎng)
的時(shí)候要倍加留意此類事情的發(fā)生���,但是操作卻違反了ANSSI的程序原則��。
谷歌用這次事件強(qiáng)調(diào)證書透明度的必要性�����,打算修復(fù)SSL證書系統(tǒng)中的缺陷����,這種缺陷易導(dǎo)致中間人進(jìn)攻和網(wǎng)絡(luò)欺詐���。谷歌針對此類漏洞的對策是�����,采用CA框架使監(jiān)控和審查這些證書�,如此來排除流氓CA或者當(dāng)違規(guī)證書企圖進(jìn)入的時(shí)候進(jìn)行隔離�。
當(dāng)這種框架被CA采納通過的時(shí)候,其效果歸根結(jié)底有賴于打算加入哪一種CA.
這已經(jīng)不是第一次SSL證書漏洞被曝光事件了����。美國國家安全局曾被控通過未被授權(quán)的證書使用中間人攻擊來對抗谷歌。此外�����,在2011年8月���,DigiNotar漏洞事件中����,另一個(gè)發(fā)現(xiàn)一名伊朗黑客制造出了惡意證書來對付谷歌的域名�����。攔截用戶的Gmail密碼���。
