又見豬一樣的隊友

五個月前，剛發生過Comodo憑證經銷商被駭客入侵盜發SSL憑證的事件，類似事件最近再度上演:

• 網路出現Google假憑證
• DigiNotar證實遭入侵 200多個假憑證外流

上回是義大利憑證經銷商出包，這回則是位於荷蘭的DigiNotar CA捅簍子，而且感覺過程挺黑的:

8/28伊朗網友在Gmail論壇發表自己的Chrome對一張7/10簽發的Google SSL憑證發出警告，DigiNotar在8/29事件爆發後立即撤銷了這張假憑證，並在隨後才坦承，曾在7/19發現被駭客入侵，盜發了超過200張憑證，原本只想私了，偷偷撤銷盜發憑證就當沒事，千算萬算漏了一張(說不定還有其他漏網之魚哩!)，整個事件才爆發出來。

胡亂劃一下重點:

• 依Google假憑證的簽發日期，駭客入侵的時點肯定在7/10之前，但切確時間只有DigiNotar有線索推斷。(至少不晚於200張假憑證的最早簽發日期，我想應該也是7/10或前一兩天，如果我是駭客，好不容易拿到珍貴道具，一定立馬連續放大絕，絕無擱著等有空再玩的道理)
• DigiNotar於7/19才發現並撤銷被盜發的憑證，代表在7/10(甚至更早)到7/19期間，這200張盜發憑證能在Internet上走路有風、喊水結凍!
• Chrome在8/28 DigiNotar還沒撤銷假憑證前，就對User提出假憑證謷告，也是讓事件被揭發的關鍵，Good Job!!
  對Chrome如此神奇的預知能力很好奇，所以研究了一下，發現這也"主場優勢"，呵。有鑑於上回Comodo盜發憑證事件Gmail曾是鎖定對象，Google便在Chrome 13加入內建的憑證設限要求(built-in certificate pinning)，進行Gmail或Google Account登入時限定只接受特定CA簽發的憑證。(only a very small subset of CAs have the authority to vouch for Gmail (and the Google Accounts login page). This can protect against recent incidents where a CA has its authority abused, and generally protects against the proliferation of signing authority.) 由於Gmail登入服務樹大招風，近年來甚至成為諜報交鋒或政治偵防的熱門戰場，Google索性在Chrome裡寫死憑證來源，減少被動手腳的風險。雖然算Google自家產品間的相互照應，但預防性的資安防護構想還是很值得讚許，至少在本案例中就發揮了關鍵作用。
• 隨後，Mozilla與Microsoft都採取了行動。Mozilla於8/29推出Firefox / SealMonkey / Thunderbird更新，取消對DigiNotar根憑證的信任。Microsoft也於8/29宣告將讓DigiNotar根憑證在Windows徹底失效，這麼一來，若網站的SSL使用的是DigiNotar簽發的憑證，在Windows裡都會變成憑證無效的黑網站，算是對豬一樣隊友的沈痛反擊；而受池魚之殃的DigiNotar客戶，也只能怪自己選到豬一樣的廠商。

[2011-09-05更新]原先提及的DigiNotar憑證檢測方法有誤，暫從文章移除。