跳至主內容

虛假 SSL 數碼憑證影響多個互聯網應用程式及網絡裝置

最後更新 2011年09月21日 發佈日期: 2011年09月16日 3677 觀看次數

風險: 中度風險

類型: 攻擊 - 其他

類型: 其他

DigiNotar 是一間荷蘭的憑證發行機構,發行 SSL 及 EVSSL 憑證,很多互聯網應用程式及網絡裝置在信任的根憑證授權都預載了 DigiNotar 的根憑證。現時已知由 DigiNotar 所簽署的虛假憑證包括一些知名域名,例如:google.com, mozilla.com, yahoo.com, torproject.org 等。

雖然攻擊目標聲稱是針對伊朗,但黑客可以利用 DigiNotar 的根憑證為任何域名產生及簽署虛假 SSL 數碼憑證。虛假的SSL 數碼憑證可以用作彷冒內容,進行釣魚攻擊及中間人攻擊 (man-in-the-middle attacks)。很多主流的網頁瀏覽器供應商都在信任的根憑證授權內移除了 DigiNotar 的根憑證。

香港電腦保安事故協調中心一直有留意 DigiNotar 保安洩密事故引發的虛假 SSL 數碼憑證的公開報告。DigiNotar 的母公司 Vasco 在8月30日發出一份新間稿,解釋有關事故的詳情。香港電腦保安事故協調中心已在9月1日發表了一篇 DigiNotar CA 保安洩密事故釀成發出虛假憑證的網誌,以期喚起公眾關注。


影響

  • 仿冒

受影響之系統或技術

  • 任何預載了 DigiNotar 根憑證的互聯網應用程式及網絡裝置。

解決方案


漏洞識別碼

  • 暫無 CVE 可提供

資料來源


相關連結