SSL系統遭入侵發布虛假密鑰及處理辦法

近日，Mozilla公司發布消息稱，至少有一個假冒google的https安全證書被簽發，並且已經接到報告說假冒的https安全證書已經在某些地方使用。虛假的安全證書有可能將用戶引導到不安全網站，導致用戶信息泄露。Mozilla已經於即日更新了他們的firefox和thunderbird，請用戶升級到最新版本。

SSL證書頒發機構(SSLCertificateAuthority)DigiNotar證實其系統曾遭受入侵，導致一系列網站得到了一些虛假的公鑰證書，其中包括Google.com。

DigiNotar表示已經檢測到了2011年7月19日發生的安全泄露問題，並刪除了受影響的證書。此外，有一家外部安全審計機構也證實虛假證書已被吊銷。然而，谷歌接收到的虛假證書卻沒被刪除。

DigiNotar表示，發現至少有一個欺詐性的證書還尚未撤銷。後來經荷蘭政府組織Govcert通知，立即採取行動，撤銷了這些欺詐性證書。它還表示這次安全攻擊只是針對DigiNotar簽發SSL和EVSSL證書的基礎設施，其他類型證書的發布並未涉及。

Firfox公司稱，免疫的最低版本為Firefox:3.6.21或6.0.1；Thunderbird:3.1.13或6.0.1

安全證書簡介

網上傳輸的任何信息都有可能被惡意截獲。所以技術人員開發了一種叫SSL/TLS/HTTPS的技術保障我們的信息傳輸安全，這個技術可以將我們和網站伺服器的通信加密起來，不被第三方獲取。

如果網站覺得它的用戶資料很敏感，打算使用SSL/TLS/HTTPS加密，必須先向有CA(CertificateAuthority)許可權的公司/組織申請一個安全證書。有CA許可權的公司/組織都是經過全球審核，值得信賴的。

但如果安全證書的頒發機構懷有惡意，則用戶的信息可能會被惡意獲取。

有爭議的安全證書

CNNIC（ChinaInternetNetworkInformationCenter，中國網際網路信息中心）於2009年被有爭議的通過，成為一個安全證書頒發機構。由於中共政府對網路信息的嚴密審查，其信譽並沒有得到國際認可，尤其是一些中國大陸網民。

有資訊安全人士表示，CNNIC成為合法的CA，那它就能堂而皇之地製作並發布CA證書。然後再配合ＧＦW（中共網路防火牆）進行DNS的網域劫持。那ＧＦW就可以輕鬆破解任何網站的HTTPS加密傳輸。

這意味著CNNIC可以隨意造一個假的證書給任何網站，替換網站真正的證書，從而盜取我們的任何資料！

這名資訊安全人士留言稱：｢ＧＦW和CNNIC作為中共的2條走狗，一起進行中間人攻擊（一個負責DNS欺騙、一個負責偽造CA證書），簡直是天生一對、黃金搭檔啊！｣

清理CNNIC安全證書的辦法

安全人士建議，最好清理掉Firfox里的CNNIC安全證書，這樣可以避免不必要的安全問題。

清理的步驟如下：

先打開Firefox瀏覽器（它的證書體系獨立於作業系統的）1、從菜單｢工具｣=>｢選項｣，打開選項對話框

2、切換到｢高級｣部份，選中｢加密｣標籤頁，點｢查看證書｣按鈕。

3、在證書對話框中，切換到｢證書機構｣。

4、裡面的證書列表是按字母排序的。把CNNIC打頭的都刪除，再把Entrust開頭的也刪除。（清除Entrust是因為它簽名信任CNNIC，我們同樣也會連帶被｢信任｣CNNIC）清除之後，如果哪個我們需要訪問的網站需要簽名時，我們可以添加例外。