幾天前聊到DigiNotar遭駭客入侵被盜發超過200張假憑證的事件,由於DigiNotar對於入侵過程及假憑證盜發細節多所保留,外界難以斷言是否有盜發憑證仍流落在外,於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--直接撤銷DigiNotar CA 根憑證,凡是DigiNotar簽發的憑證,不管真假一律封殺。

繼Chrome、FireFox陸續推出撤銷DigiNotar根憑證的新版本後,微軟也在9/7釋出了KB2607712更新,正式撤銷DigiNotar CA根憑證在內的五張憑證,從此所有DigiNotar簽發的憑證在Windows平台將一律被視為不可信任,IE將無法透過SSL加密方式瀏覽使用DigiNotar簽發憑證的網站。

難得見證CA根憑證被封鎖,就順道觀察一下過去不曾留意的Windows憑證清單更新過程。

在安裝KB2607712更新前,從IE的網際網路選項/憑證檢視清單可以找到"不受信任的發行者"(Untrusted Publishers)頁籤,此時清單中還沒有任何DigiNotar憑證。

安裝KB2607712更新

安裝完成後,就可發現不受信任的發行者清單多了DigiNotar Root CA在內的五張憑證。

此時再試著使用IE連上https://www.diginotar.com ,登楞~~ 直接拒絕!!

試試FireFox(6.0.1+l版本),一樣會傳回憑證被撤銷無法瀏覽的訊息。

Chrome亦然,因憑證已被註銷而無法瀏覽SSL網頁!

測試可知,DigiNotar憑證已被瀏覽器全面封殺。

大家不妨也試試自己的環境,確認電腦已即時更新,以免被假憑證給陰了。


Comments

# by Nox

這樣一來,向DigiNotar申請憑證的網站不就一起死了...... 所以用戶被迫向其他根憑證(例如VeriSign)重新申請與註冊 可以說DigiNotar整個完蛋了

# by nowhereman

Mac OS X也發行了安全性更新把DigiNotar的憑證變成不予信任.

# by nowhereman

補充: 看 http://en.wikipedia.org/wiki/DigiNotar DigiNotar在9月20日宣告進入破產程序.

Post a comment


55 - 49 =