印度機(jī)構(gòu)造“假證書”威脅Gmail安全

據(jù)360安全衛(wèi)士官方微博安全預(yù)警，近日CA根證書下的印度證書認(rèn)證控制機(jī)構(gòu)和印度國家信息中心被曝錯(cuò)誤簽發(fā)了證書，可被黑客利用針對Google/Yahoo的https等加密服務(wù)進(jìn)行竊聽、欺騙或釣魚，威脅Gmail等加密服務(wù)。為此微軟緊急發(fā)布安全公告，并推送補(bǔ)丁吊銷這批假證書。

圖：360第一時(shí)間推送補(bǔ)丁為用戶修復(fù)此安全問題

印度國家信息安全中心NIC被發(fā)現(xiàn)使用Indian CCA發(fā)行的次級CA 證書發(fā)行了多個(gè)假的Google和雅虎SSL證書(三個(gè)Google域名和一個(gè)雅虎域名，此外還有yahoo-inc.com、 yahooapis.com、static.com和gstatic.com等)。未授權(quán)的SSL證書可被用于發(fā)動(dòng)中間人攻擊，如嗅探內(nèi)容和釣魚。

Indian CCA被微軟的Root Store所信任，偽造證書事件主要影響使用微軟IE和其它Windows應(yīng)用程序的用戶。Indian CCA已經(jīng)撤銷了NIC持有的次級CA證書，聲稱原因是NIC的證書發(fā)行系統(tǒng)遭到了黑客入侵。

微軟安全公告宣布開始移除該證書。公告顯示，此問題會(huì)影響所有受支持的Microsoft Windows版本。目前，微軟的Windows8、Windows8.1、Server2012、Server2012 R2版本，以及運(yùn)行的Windows Phone8或Windows Phone的8.1設(shè)備會(huì)自動(dòng)更新撤銷證書，針對其他Microsoft Windows操作系統(tǒng)，微軟為用戶提供了撤銷證書的補(bǔ)丁。