荷蘭政府發(fā)布分析DigiNotar公司服務(wù)器的審計(jì)報(bào)告后，本周荷蘭證書授予機(jī)構(gòu)DigiNotar的泄漏范圍擴(kuò)大，報(bào)告顯示了該公司不同CA服務(wù)器中的重大安全失誤。

該報(bào)告由IT安全公司Fox-IT編寫，他們發(fā)現(xiàn)DigiNotar網(wǎng)絡(luò)已經(jīng)“嚴(yán)重泄漏”并感染了超過二十臺(tái)CA服務(wù)器。破壞的程度大大提高，CA服務(wù)器已發(fā)出了數(shù)以百計(jì)的針對(duì)20個(gè)不同領(lǐng)域簽署的流氓證書。

一些專家表示，泄漏的嚴(yán)重性提醒了我們關(guān)于損壞證書系統(tǒng)的問題。一個(gè)總部設(shè)在英國(guó)的安全廠商，Sophos有限責(zé)任公司的高級(jí)安全顧問Chester Wisniewski表示，企業(yè)的首席信息安全官們（CISOs）需要了解他們的組織如何使用SSL證書，并提出應(yīng)急計(jì)劃以應(yīng)對(duì)證書供應(yīng)商的泄漏事故。除了在瀏覽器中使用SSL來驗(yàn)證網(wǎng)站的真實(shí)性，許多企業(yè)使用數(shù)字證書來驗(yàn)證SSL VPN和電子郵件服務(wù)器用戶的身份。

“企業(yè)需要知道，如果他們的SSL VPN打斷了用戶或他們的電子商務(wù)系統(tǒng)讓他們用戶的業(yè)務(wù)衰退了（if their SSL VPN would break for their users or if their e-commerce system would falter with their customers），他們應(yīng)該做些什么？”Wisniewski說道，“問問你自己，是否有一個(gè)可供選擇的方案？”

企業(yè)可以從多個(gè)證書授予機(jī)構(gòu)獲得證書，從而使得一旦一臺(tái)CA服務(wù)器泄漏了，他們還可以有一個(gè)確保網(wǎng)站驗(yàn)證的后備方案。替代當(dāng)前系統(tǒng)的方案還在測(cè)試中，但直到谷歌，微軟和Mozilla開始支持替代的真?zhèn)悟?yàn)證系統(tǒng)前，該系統(tǒng)是不可能改變的。Fox-IT報(bào)告促使瀏覽器制造商將DigiNotar證書拉入黑名單。

本周二，微軟更新了它的安全公告，推出了針對(duì)支持所有Windows版本的自動(dòng)更新，撤銷對(duì)DigiNotar根證書的信任。微軟表示，這保護(hù)了IE用戶免受中間人攻擊。流氓數(shù)字證書可以讓攻擊者制造假內(nèi)容并執(zhí)行網(wǎng)絡(luò)釣魚攻擊。

“我們已經(jīng)認(rèn)為所有的DigiNotar證書都不可靠，并將它們移到不信任證書中存儲(chǔ)（Untrusted Certificate Store），”微軟可信賴計(jì)算主任Dave Forstrom在微軟安全響應(yīng)中心博客中這樣寫道，“我們認(rèn)識(shí)到，這是一個(gè)行業(yè)的問題，我們一直積極在與證書授予機(jī)構(gòu)，政府和軟件廠商合作，以幫助保護(hù)我們共同的客戶。”

微軟針對(duì)荷蘭用戶的自動(dòng)更新還要等一個(gè)星期。Mozilla和谷歌也采取了類似的措施，以阻止流氓數(shù)字證書。

“這不是一個(gè)暫時(shí)的停止，我們是將它完全從我們信任的根方案中清除了，”Firefox的工程總監(jiān)Jonathan Nightingale在Mozilla的安全博客中這樣寫道，“完全撤銷信任是我們慎重考慮后作出的決定，這也是我們最后的手段。”

之所以徹底清除受信任的根是因?yàn)樾孤┑姆秶圆幻鞔_，Nightingale解釋道。此外，DigiNotar撤銷了未通知Mozilla的欺詐性證書。

在9月3日發(fā)布的更新中，谷歌表示它已經(jīng)拒絕了由DigiNotar進(jìn)行的所有證書授予。“我們期望DigiNotar可以提供一份完整的情況分析，”谷歌信息安全經(jīng)理Heather Adkins這樣寫道。

Fox-IT的報(bào)告，由荷蘭政府發(fā)布，報(bào)告中發(fā)現(xiàn)了DigiNotar嚴(yán)重的網(wǎng)絡(luò)問題。

“所有CA服務(wù)器都在一個(gè)Windows域，這使得通過一個(gè)用戶名/密碼組合就可以訪問所有的服務(wù)器，”據(jù)DigiNotar泄漏報(bào)告，該報(bào)告可在荷蘭政府網(wǎng)站Rijksoverheid上查看。“密碼不是很強(qiáng)，而且容易被暴力破解。”

此外，審計(jì)調(diào)查發(fā)現(xiàn)DigiNotar公共Web服務(wù)器上安裝過時(shí)的軟件。目前被調(diào)查的服務(wù)器上沒有防病毒保護(hù)，F(xiàn)ox-IT補(bǔ)充道。

從黑客活動(dòng)留下的痕跡來看，可能來自伊朗，從6月19日持續(xù)到7月22日。攻擊者們發(fā)出了數(shù)百個(gè)流氓證書，包括針對(duì)谷歌，Skype，Mozilla附加組件，微軟更新和其他的SSL證書。

【編輯推薦】

1. 微軟首次發(fā)布IE 10兼容性補(bǔ)丁
2. SSL系統(tǒng)遭入侵發(fā)布虛假密鑰 微軟谷歌受影響
3. 微軟補(bǔ)丁星期二：修復(fù)關(guān)鍵IE和Windows DNS漏洞
4. 著名女黑客大贊微軟在安全方面的進(jìn)步
5. 微軟7月補(bǔ)丁：藍(lán)牙可被黑客利用為所欲為