豬隊友滾開，DigiNotar掰掰

幾天前聊到DigiNotar遭駭客入侵被盜發超過200張假憑證的事件，由於DigiNotar對於入侵過程及假憑證盜發細節多所保留，外界難以斷言是否有盜發憑證仍流落在外，於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--直接撤銷DigiNotar CA 根憑證，凡是DigiNotar簽發的憑證，不管真假一律封殺。

繼Chrome、FireFox陸續推出撤銷DigiNotar根憑證的新版本後，微軟也在9/7釋出了KB2607712更新，正式撤銷DigiNotar CA根憑證在內的五張憑證，從此所有DigiNotar簽發的憑證在Windows平台將一律被視為不可信任，IE將無法透過SSL加密方式瀏覽使用DigiNotar簽發憑證的網站。

難得見證CA根憑證被封鎖，就順道觀察一下過去不曾留意的Windows憑證清單更新過程。

在安裝KB2607712更新前，從IE的網際網路選項/憑證檢視清單可以找到"不受信任的發行者"(Untrusted Publishers)頁籤，此時清單中還沒有任何DigiNotar憑證。

安裝KB2607712更新

安裝完成後，就可發現不受信任的發行者清單多了DigiNotar Root CA在內的五張憑證。

此時再試著使用IE連上https://www.diginotar.com ，登楞~~ 直接拒絕!!

試試FireFox(6.0.1+l版本)，一樣會傳回憑證被撤銷無法瀏覽的訊息。

Chrome亦然，因憑證已被註銷而無法瀏覽SSL網頁!

測試可知，DigiNotar憑證已被瀏覽器全面封殺。

大家不妨也試試自己的環境，確認電腦已即時更新，以免被假憑證給陰了。