Fw: [轉]谷歌警告稱存在一個未經授權的証書危害所有操作

看板NetSecurity (資安 資訊安全)作者 (ggg)時間9年前 (2015/04/04 22:49), 9年前編輯推噓0(003)
留言3則, 2人參與, 最新討論串1/1
※ [本文轉錄自 Soft_Job 看板 #1L7-rNUv ] 作者: ggg12345 (ggg) 看板: Soft_Job 標題: 谷歌警告稱存在一個未經授權的証書危害所有操作 時間: Sat Apr 4 21:55:30 2015 逃避監聽的方法就是加密通信. 但合法監聽技術則是中間人代理轉發, 偵測是否中間人就是偵測來往機器位置及 機器身份的CA認證. Email 本身一直都含有經過那些轉送站的記錄. 合法監聽的技術還需要加入隱身及透通的本事. ============================================================================ 發信人: repeating (千王之王), 信區: Military 標 題: 中國封殺有關CNNIC發布中間人証書的文章 發信站: BBS 未名空間站 (Fri Mar 27 20:34:47 2015, 美東) http://www.peacehall.com/news/images/2015/03/201503272323china2.jpg
日前﹐谷歌發現在多個未授權的針對谷歌域名的電子証書﹐而這些証書的根証書屬 於中國互聯網絡信息中心(CNNIC)。谷歌和Mozilla(火狐)分別公開了這一安全事件 ﹐就此分別發表了博客文章(Google, Mozilla)。但谷歌與Mozilla有關CNNIC發布中間 人攻擊証書文章的中文翻譯﹐則在中國被勒令刪除。 中國著名IT博客“月光博客”不加任何評論﹐將谷歌的文章翻譯成中文。在谷歌和 百度上用中文搜索“CNNIC中間人攻擊”﹐他的這篇文章都是搜索的首個結果。3月26日 ﹐他在推特上表示﹐新聞辦打電話給他﹐ 要求立即刪除他的這篇文章。原文 http://www.w illiamlong.info/archives/4183.html 被刪除了。但谷歌緩存仍然存在。 中國官媒環球將Mozilla的文章翻譯成中文並發表。該文章 http://tech.huanqiu.com/ news/2015-03/5997225.html 也被刪除。但谷歌緩存仍然存在。 中國科技新聞網站CNBeta對Mozilla的文章進行了報道﹐報道文章 http://www.cnbeta. com/articles/379765.htm 也被刪除。 中國最大的IT社區網站CSDN對Mozilla文章的中文翻譯 http://news.csdn.net/article .html?arcid=15823317 被刪除。 這再次突出CNNIC參與了中國網絡審查。CNNIC曾進行網絡審查﹐而且正在、也將繼 續進行網絡審查。Greatfire再次呼吁谷歌、Mozilla、微軟和蘋果立即取消對CNNIC的 信任﹐以保護全球網民的用戶信息。 本文英文版原載於Greatfire﹐中文版經授權由泡泡編譯﹐文中觀點不代表泡泡立場 附﹕月光博客被刪文章 谷歌稱CNNIC發布中間人攻擊証書 根據谷歌官方安全博客報道﹐谷歌發現CNNIC頒發了多個針對谷歌域名的用於中間 人攻擊的証書。這個名為MCS集團的中級証書頒發機構發行了多個谷歌域名的假証書﹐ 而MCS集團的中級証書則來自中國的CNNIC。 該証書冒充成受信任的谷歌的域名﹐被用於部署到網絡防火牆中﹐用於劫持所有處 於該防火牆後的HTTPS網絡通信﹐而繞過瀏覽器警告。 谷歌聯系了CNNIC﹐CNNIC在3月22日回應稱﹐CNNIC向MCS發行了一個無約束的中級 証書﹐MCS本應該隻向它擁有的域名發行証書﹐但 MCS將其安裝在一個防火牆設備上充 當中間人代理﹐偽裝成目標域名﹐用於執行加密連接攔截(SSL MITM)。企業如出於法 律或安全理由需要監控員工的加密連接﹐必須限制在企業內網中﹐然而防火牆設備卻在 用戶訪問外部服務時發行了不受其控制的域名的証 書﹐這種做法嚴重違反了証書信任 系統的規則。這種解釋符合事實﹐然而﹐CNNIC還是簽發了不適合MCS持有的証書。 中國封殺有關CNNIC發布中間人証書的文章 CNNIC作為根CA被幾乎所有操作系統和瀏覽器信任﹐谷歌已經將這些情況通知了所 有的主流瀏覽器﹐谷歌所有版本的Chrome瀏覽器(包括 Windows、OS X、Linux版)、 Firefox瀏覽器都會攔截這些証書﹐Firefox從37版開始引入OneCRL機制﹐建立証書黑名 單﹐攔截被濫用及不安全的証書。 這件事情再次顯示﹐互聯網証書頒發機制公開透明的必要性。 谷歌英文博客原文﹕Maintaining digital certificate security Mozilla英文博客原文﹕Revoking Trust in one CNNIC Intermediate Certificate 參考資料﹕中國互聯網絡信息中心(China Internet Network Information Center﹐縮寫為CNNIC)﹐是經中華人民共和國國務院主管部門批準﹐於1997年6月3日 成立的互聯網管理和服務機構。中國互聯網絡信息中心成立 伊始﹐由中國科學院主管 ﹔2014年末﹐改由中央網絡安全和信息化領導小組辦公室、國家互聯網信息辦公室主管 ========================================================================== 發信人: thrifty (yang), 信區: Military 標 題: 警惕CNNIC﹗谷歌警告稱存在一個未經授權的証書危害所有操作系統 發信站: BBS 未名空間站 (Thu Apr 2 23:42:44 2015, 美東) CNNIC是firefox和windows內置的CA, CA的意思是可以簽發任意SSL証書,並且ff和 windows都認為這個簽發的証書是合理合法的 GFW隻需在某個網關做一些處理, 大概的流程簡單描述一下, 比如你用FF訪問https:// gmail.com, 首先在HTTPS握手階段給你發一份CNNIC CA簽發給gmail.com這個域名的SSL証書公鑰, 同時,這個網關持有這個証書的私鑰, 因為CNNIC CA是合法的CA, 所以FF對於這次HTTPS握手結果的驗証是合法的 接下來你在gmail上的提交的數據都會根據CNNIC簽發証書的公鑰進行加密 然後GFW網關收到你的gmail數據傳輸請求, 會根據SSL協議先用私鑰把你的數據解密, 順帶分析存儲一份, 再用真正的gmailssl公鑰加密原始傳輸數據再發給google的服務器 google服務器收到數據傳輸請求,按SSL協議規范驗証也是完全合法的, 然後根據你的請 求返回相關數據 這時候返回的數據對於GFW來說也是透明的, 所以它隻需解包然後再用CNNIC簽發的証書 加密以後再發給FF 最終FF收到的數據,經過SSL協議規范驗証也是完全合法的 但是, 你傳輸的xxoo內容已經完全被人掌握 谷歌稱﹐在3月20日發現有未經授權的數字証書﹐冒充成受信任的谷歌的域名。由一家 叫 MCS 的中間証書頒發機構頒發的証書。此中間証書是由CNNIC發布的。 http://www.letscorp.net/lynn/wp-content/uploads/2015/03/4183_1-241x300.jpg
http://www.letscorp.net/lynn/wp-content/uploads/2015/03/8c61cca725816e1.png_600x 600-274x300.png 谷歌警告稱此証書可能會冒充其他網站 CNNIC包含在所有主要操作系統的受信任的根証書存儲區中﹐所以其頒發的証書被幾乎 所有瀏覽器和操作系統所信任。包括Windows、OS X、Linux等系統。 谷歌已經就此事及時通知了CNNIC和其他主流瀏覽器廠商﹐我們阻止了chrome信任 MCS 的証書。CNNIC22日解釋稱MCS隻會在其已經注冊擁有的域名上頒發証書。然而﹐MCS沒 有把私匙放在合適的HSM﹐MCS把它安裝在中間人代理設備上。這些設備偽裝成安全連接 ﹐用來攔截MCS雇員的安全通訊用以監視雇員或者其他目的。雇員的計算機通常必須被 配置為信任代理才能夠做到這一點。然而﹐MCS為了簡單省事﹐直接將証書頒發到公共 受信任証証書。這種做法嚴重違反了証書信任系統的規則。 這種解釋是符合事實的。然而﹐CNNIC還簽發了不適合MCS持有的証書權利和預期母的。 由於谷歌已經使用了CRLSet更新﹐所以Chrome用戶不需要采取任何行動。我們並不建議 人們更改密碼﹐或采取其他行動。 再次﹐此事件也凸顯了互聯網証書頒發機制公開透明的必須要。 在 twitter上﹐谷歌發言人補充道﹕”我們理解MCS隻是想查看他們的員工的通訊內容 。” Mozilla發言人隨後稱對 MCS頒發的中級証書將在即將到來的Firefox 37中被吊銷。 根據最新 Mozilla安全博客的博文﹐CNNIC被發現頒發了用於中間人攻擊的証書。該証 書被用於部署到網絡防火牆中﹐用於劫持所有處於該防火牆後的HTTPS網絡通信﹐而繞 過瀏覽器警告。 該証書來自CNNIC與某個公司的一個合同﹐該合同規定該公司僅用CNNIC提供的 Sub CA 証書簽發屬於自己公司名下的網站。但被Google發現該証書被用於部署到防火牆中﹐用 於劫持該網絡中的所有HTTPS通信。 Chrome及Firefox默認會校驗Mozilla 及Google 旗下所有的網站的証書﹐因此被Google 發現並報告了該問題。 Firefox從 37開始 將引入 OneCRL機制﹐將建立証書黑名單﹐攔截被濫用及不安全的証 書。 目前 Mozilla正在商討對CNNIC根証書的處理。 ※ 編輯: ggg12345 (211.76.254.3), 04/04/2015 21:57:08

04/04 22:05, , 1F
美國政府就一堆ROOT CERT 在BROWSER中了, 如何?
04/04 22:05, 1F

04/04 22:16, , 2F
通篇就只提CN 跟US的根憑證有甚麼關係
04/04 22:16, 2F

04/04 22:42, , 3F
私人企業對員工通信有其監聽需求,跨國企業可在防火牆作
04/04 22:42, 3F

04/04 22:45, , 4F
中間人的合法監聽.中間人的位置若是第三方代理服務,那就
04/04 22:45, 4F

04/04 22:48, , 5F
涉及是否可用動態ip及行動裝置.這需求與供應免不了要有!
04/04 22:48, 5F
※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: ggg12345 (211.76.254.3), 04/04/2015 22:49:34

04/05 02:15, , 6F
這翻譯…
04/05 02:15, 6F

04/05 02:16, , 7F
Mozilla 就是 FireFox ?
04/05 02:16, 7F

04/05 13:44, , 8F
如果不放心的話就把對岸的CA全面河蟹,也不會太難
04/05 13:44, 8F
文章代碼(AID): #1L7_d_Vx (NetSecurity)
文章代碼(AID): #1L7_d_Vx (NetSecurity)