近日,谷歌、雅虎、微软 Live、Skype 、Mozilla等著名网站数字证书被不法分子恶意冒领。业内安全专家提示,不法分子可能会利用这些证书构建恶意网站,分发恶意程序或发起钓鱼攻击。
根据媒体报道,事故原因可能是由于comodo的系统安全存在问题,导致骇客窃取了comodo代理商的用户名和密码后侵入系统,未经过审核擅自颁发了9张SSL证书。
"数字证书是互联网上标志网站身份信息的一系列数据,其作用类似于司机的驾驶执照或日常生活中的身份证。" GlobalSign技术人员在接受记者采访时解释说:"数字证书理当由权威公正的证书管理机构签发,为计算机系统和网站浏览者提供该网站的真实身份验证。"GlobalSign 是国际著名的证书管理机构和 SSL 数字证书提供商,同时也是全球公众信任服务行业的领先企业。
微软 GlobalSign 等发出紧急公告
业内人士认为,本次 Comodo 数字证书冒领是全球数字证书市场有史以来最严重的事件之一,并引起多方面关联机构高度重视。
微软 3 月 2 4日发出安全公告:数字证书颁发机构 Comodo 所发出的九个安全数字证书,是在第三方机构未提供充分身份认证的情况下签署的。微软于当日凌晨发布了编号为 KB2524375 的紧急安全更新,并提示用户下载安装,将这些冒领的欺骗性数字安全证书挡在门外,保证网民的上网安全。
GlobalSign亦于3月25日在其官方网站 https://cn.globalsign.com 发布紧急声明:"此次危害仅针对于装有Comodo证书的系统,GlobalSign全体客户无须担心该风险。"GlobalSign 在声明中强调说,Comodo是因为未经过严格的审查而造成的错颁证书,而 GlobalSign 证书申请、审核、颁发皆通过一套严密的审查程序,内部审核部门仔细查验每一笔申请资料,即便是代理商之客户,也必须通过我方内部最严谨的审查程序后,才能获得证书的发放、安装资格,以确保证书的可信赖性。
几日内,一些安全厂商也纷纷做出警告,提示用户及时下载安装操作系统和浏览器的更新,以防随时可能发生的网络安全问题。
业界呼吁数字认证应用和管理双保险
据安全专家介绍,操作系统和浏览器会默认信任若干个根证书颁发机构签署的证书,把他们列入"白名单",当用户访问这些签署过安全证书的网站时,系统将视为安全网站而不做警示;但如果证书被不法分子恶意冒领,利用证书构建类似网站或其他恶意网站,当用户访问时,系统将认为安全而不弹出安全警示,用户将可能被安装恶意软件或遭受钓鱼攻击,并可能因此带来难以估量的损失。
网络安全问题一直是专业人士和网民的最大担心。去年 9 月份,曾有媒体爆出域名为ailbay.com 的钓鱼网站排到百度搜寻引擎的第一位,而真正的支付宝( alipay.com )则排在第三位,事件发生后引起网友一片挞伐。
所谓的钓鱼网站,是指让用户误以为自己目前浏览的就是正版网站,从而输入自己的用户名和密码进行登录,藉以达到盗取用户机密信息的非法网站。钓鱼网站不仅影响品牌网站的经营,也严重影响网民的浏网权益,甚至造成重大经济损失。《 2010 年中国反钓鱼网站联盟工作报告》显示,截止 2010 年 11 月底累计认定并处理的钓鱼网站共有 32,496 个,较前年同期成长 136%。
GlobalSign 技术专家在接受记者采访时表示:常规状态下钓鱼网站防不胜防,目前大型的电子商务网站都应用了可信赖的数字证书产品,为网民提供权威验证和保障信息安全。 GlobalSign 技术专家举例说,网站安装 GlobalSign 最高级别的 EVSSL 增强型证书后,不仅网址以 https 呈现,亦可以激活浏览器的地址栏使其变成绿色,通过鲜明的标示告诉网友"该网站正受到最严密的信息安全防护"。此外,使用 EVSSL 增强型证书将直接显示受到验证及保护的企业、网站身份信息及数字证书颁发机构的名称,让消费者更加轻松地辨识网站真伪,也确保品牌网站的权益。
GlobalSign 同时强调,数字证书是对企业和网民最强大的保护,但证书颁发时的审查程序更为重要,这样才能从源头避免证书被非法冒领,避免安全证书被不法分子利用,真正实现网络安全。
针对本次Comodo数字证书被冒领事件,GlobalSign在其官方申明中特别强调:"本公司审核部门会以此为鉴,以严谨的态度对待每一个证书申请,更加严格的遵守GlobalSign审查规则和流程。"
业内人士呼吁,证书管理签发机构,应该加强自身的管理审核流程和安全,承担证书管理的义务和责任,为企业网站提供值得信赖的安全认证,为网络民众提供安全的上网环境。
关键字:数字证书冒领,GlobalSign,Comodo,微软公告
新闻素材来源:中国新闻采编网
