跳至主內容

DigiNotar CA保安洩密事故 釀成發出虛假憑證

發佈日期: 2011年09月01日 5178 觀看次數

DigiNotar 是一間荷蘭的公鑰憑證發行機構,他們報告在2011年7月公司發生了一宗保安洩密事故,導致發出了一些虛假憑證。DigiNotar 發行 SSL (安全通訊端層 - Secure Sockets Layer) 及EVSSL (延伸驗證 - Extended Validation) 憑證,當用戶訪問的網站的時候,網頁瀏覽器會透過核對網站聲稱的身份是否和憑證吻合,辨別網站的真偽。


影響

DigiNotar 承認曾發出用於 Google, Yahoo, Mozilla, Wordpress 及 TOR 項目的虛假憑證,由於事故目前仍在調查中,影響的範圍仍然未明朗。

網頁瀏覽器核實憑證真偽是基於憑證是由信賴的發行機構簽署。虛假憑證破壞了這個信賴機制,並可能讓不法分子在加密通訊內進行中間人攻擊 (man-in-the-middle attack) 。

DigiNotar的母公司Vasco從事雙重認證編碼器生產,給網上營業商使用,Vasco在新間稿上表明「VASCO 和 DigiNotar 的技術基建是完全分隔的,這次事故不會給 VASCO 的強認證業務構成風險」。

解決方案

1.    撤銷DigiNotar的根憑證。

Google、微軟及Mozilla已發布保安更新方案,撤銷DigiNotar的根憑證。

 

MacOS用戶可以手動刪除 DigiNotar根憑證。

  • 在 /Application/Utilities 啟動 Keychain Access。
  • 在Keychain pane 選取 “System Roots”。
  • 搜尋 “DigiNotar Root CA” 憑證。
  • 從”編輯” 選單,選擇 “刪除”。你會被要求輸入管理員用戶名稱和密碼。
  • 核對 “DigiNotar Root CA certificate” 已被刪除。

注意:有報告指出,在MacOS上取消信任 (distrust) DigiNotar根憑證對EVSSL 憑證無效,所以,唯一的解決方案是刪除DigiNotar的根憑證。

 


2. 撤銷DigiNotar的根憑證後,請瀏覽 DigiNotar的SSL網頁 (https://www.diginotar.nl) 核實。你的瀏覽器應該警告 (如下圖所示) ,指網站的憑證有問題或連線到該網站是不可信任的


 

 


參考資料

Vasco press release (30 August 2011): DigiNotar reports security incident
http://vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx

Steps to disable trust of the DigiNotar root CA in MacOS
http://www.coriolis-systems.com/blog/2011/08/diginotar-certificate-security.php

Mac OS X Can't Properly Revoke Dodgy Digital Certificates
http://www.pcworld.com/businesscenter/article/239269/mac_os_x_cant_properly_revoke_dodgy_digital_certificates.html