Google安全博客最近发表声明称,一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。ANSSI随后回应,称“发行伪造证书是一次人为错误”。鉴于伪造CA证书对互联网用户的通讯安全存在严重威胁,微软紧急发布补丁吊销“假证书”(针对Vista/Win7/2008),国内360安全卫士也已向用户推送补丁,并率先为Windows XP、2003系统用户提供临时防范措施。
图:360率先防御“虚假数字证书欺骗漏洞”
据悉,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密网络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击。
根据360安全中心分析,此次事件对国内用户同样影响重大,国内的网银支付和第三方支付普遍采用HTTPS来加密和确保交易安全,攻击者可以利用此CA证书伪造任意SSL证书,从而伪造网银、支付等网络信息,实现钓鱼或中间人攻击,窃取受害者的网上支付资金。
微软安全公告宣布开始吊销该证书。公告显示,微软的Windows8、Windows8.1、Server2012、Server2012 R2版本系统会自动更新吊销证书,针对Windows Vista、Windows7、Server2008、Server2008R2等操作系统,微软为用户提供了吊销证书的补丁,但暂未对Windows XP和2003系统用户提供补丁。
针对XP和2003系统用户,安全厂商360于12月10日晚间宣布推出防范措施,用户使用360安全卫士“系统修复”,安装编号为QH360020的临时补丁后,即可防御此次“虚假数字证书欺骗漏洞”,保护加密网络通讯和网上交易支付安全。