中国CA发布了Google域的虚假数字证书

谷歌安全团队最近发现并阻止了中国CA的几个谷歌域发布的欺诈性数字证书。

3月20日,谷歌安全团队已发现并阻止为几个谷歌域发出的欺诈性数字证书。调查显示,中国证书颁发机构正在使用中级CA,MCS控股,发出虚假谷歌 数字证书。情况令人担忧,因为MCS控股可能会为公司的几乎任何领域发出数字证书。

Google为Chrome浏览器中包含的撤销列表发布更新,以撤销欺诈性证书,同时也会提醒其他浏览器供应商的安全问题。谷歌联系了CNNIC的官员,中国注册商授权中级CA,官员表示,他们正在与MCS合作,为其注册的域名发出证书。

谷歌及时向CNNIC报告了授权中间CA的CNNIC,确认MCS为其注册的域提供了证书。似乎私钥安装在中间人的代理上,一种用于通过模拟预期目的地来窃听安全连接的网络设备 监视 purpose.

“CNNIC回应了第22届,以解释他们根据MCS只会向MCS持有MCS控股,仅向他们注册的域名发出证书。但是,而不是保持私钥 HSM. ,MCS在一个中间的代理中安装了它。这些设备通过伪装为预期目的地拦截安全的连接,有时由公司拦截他们的员工的安全业务以获取监控或法律原因,“在博客中写道亚当·兰利从谷歌写道 邮政.

Langley强调了与此类操作相关的风险,问题是CNNIC权限受到所有主要浏览器的信赖,使用户暴露于严重风险。

“员工的计算机通常必须配置为信任代理以便能够执行此操作。但是,在这种情况下,假定的代理是公共CA的全部权限,这是一个严重违反CA系统的权力。“写入兰利“CNNIC包含在所有主要根商店中,因此几乎所有浏览器和操作系统都可以信任散发的证书。 Windows,OS X和Linux,Chrome和Firefox 33上的Chrome会拒绝这些证书 公钥固定,虽然其他网站的散发证书可能存在,但“ 

2013年12月发生了类似的事件,谷歌的安全专家发现了用于多个Google域链接到ANSSI链接的中间证书颁发机构的未经授权使用数字证书。

ANSSI是法国网络安全机构,与法国情报机构运营,该组织宣布中级CA正在产生 假证书 to conduct 麻省理工学士学位袭击 并检查SSL流量。请注意,中间CA证书携带CA的全部权限,攻击者可以使用它来为他们希望破解的任何网站创建证书。

“ANSSI已发现中间CA证书在商业设备上使用了私有网络,以在该网络上的知识中检查加密流量。这是违反其程序,并要求他们要求浏览器撤销的有关证书。我们再次更新了Chrome的撤销元数据来实现这一点,“Google报道。 

谷歌发现了正在进行的临时攻击和 阻止它, 谷歌已宣布ANSSI要求阻止中级CA证书。

中国 - 加利福尼亚州

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请