Author

Topic: 警惕CNNIC!谷歌警告称存在一个未经授权的证书危害所有操作系统 (Read 1976 times)

hero member
Activity: 770
Merit: 500
狗屎政府侵犯公民的权利,还天天有脸抨击美国棱镜门和斯诺登


毛猪席万岁
hero member
Activity: 770
Merit: 500
中国封杀有关CNNIC发布中间人证书的文章
请看博讯热点:网络封锁和压制
(博讯北京时间2015年3月27日 转载)
    中国封杀有关CNNIC发布中间人证书的文章

   
    文/GreatFire
   
    日前,谷歌发现在多个未授权的针对谷歌域名的电子证书,而这些证书的根证书属于中国互联网络信息中心(CNNIC)。谷歌和Mozilla(火狐)分别公开了这一安全事件,就此分别发表了博客文章(Google, Mozilla)。但谷歌与Mozilla有关CNNIC发布中间人攻击证书文章的中文翻译,则在中国被勒令删除。
   
    中国著名IT博客“月光博客”不加任何评论,将谷歌的文章翻译成中文。在谷歌和百度上用中文搜索“CNNIC中间人攻击”,他的这篇文章都是搜索的首个结果。3月26日,他在推特上表示,新闻办打电话给他, 要求立即删除他的这篇文章。原文 http://www.williamlong.info/archives/4183.html 被删除了。但谷歌缓存仍然存在。
   
    中国官媒环球将Mozilla的文章翻译成中文并发表。该文章 http://tech.huanqiu.com/news/2015-03/5997225.html 也被删除。但谷歌缓存仍然存在。
   
    中国科技新闻网站CNBeta对Mozilla的文章进行了报道,报道文章 http://www.cnbeta.com/articles/379765.htm 也被删除。
   
    中国最大的IT社区网站CSDN对Mozilla文章的中文翻译 http://news.csdn.net/article.html?arcid=15823317 被删除。
   
    这再次突出CNNIC参与了中国网络审查。CNNIC曾进行网络审查,而且正在、也将继续进行网络审查。Greatfire再次呼吁谷歌、Mozilla、微软和苹果立即取消对CNNIC的信任,以保护全球网民的用户信息。
   
    本文英文版原载于Greatfire,中文版经授权由泡泡编译,文中观点不代表泡泡立场
   
    附:月光博客被删文章
   
    谷歌称CNNIC发布中间人攻击证书
    根据谷歌官方安全博客报道,谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书,而MCS集团的中级证书则来自中国的CNNIC。
   
    该证书冒充成受信任的谷歌的域名,被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。
   
    谷歌联系了CNNIC,CNNIC在3月22日回应称,CNNIC向MCS发行了一个无约束的中级证书,MCS本应该只向它拥有的域名发行证书,但 MCS将其安装在一个防火墙设备上充当中间人代理,伪装成目标域名,用于执行加密连接拦截(SSL MITM)。企业如出于法律或安全理由需要监控员工的加密连接,必须限制在企业内网中,然而防火墙设备却在用户访问外部服务时发行了不受其控制的域名的证 书,这种做法严重违反了证书信任系统的规则。这种解释符合事实,然而,CNNIC还是签发了不适合MCS持有的证书。
   
    中国封杀有关CNNIC发布中间人证书的文章


   
    CNNIC作为根CA被几乎所有操作系统和浏览器信任,谷歌已经将这些情况通知了所有的主流浏览器,谷歌所有版本的Chrome浏览器(包括 Windows、OS X、Linux版)、Firefox浏览器都会拦截这些证书,Firefox从37版开始引入OneCRL机制,建立证书黑名单,拦截被滥用及不安全的证书。
   
    这件事情再次显示,互联网证书颁发机制公开透明的必要性。
   
    谷歌英文博客原文:Maintaining digital certificate security
   
    Mozilla英文博客原文:Revoking Trust in one CNNIC Intermediate Certificate
   
    参考资料:中国互联网络信息中心(China Internet Network Information Center,缩写为CNNIC),是经中华人民共和国国务院主管部门批准,于1997年6月3日成立的互联网管理和服务机构。中国互联网络信息中心成立 伊始,由中国科学院主管;2014年末,改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管。
   
    来源:泡泡网 (博讯 boxun.com)
3662323
newbie
Activity: 48
Merit: 0
狗屎政府侵犯公民的权利,还天天有脸抨击美国棱镜门和斯诺登
newbie
Activity: 28
Merit: 0
这个太厉害了, 我还准备去买证书的, 看来还不如自签名的安全.
hero member
Activity: 770
Merit: 500
警惕CNNIC!谷歌警告称存在一个未经授权的证书危害所有操作系统


http://www.dolc.de/thread-1815682-1-1.html

2015年3月24日墙外仙减小字体 / 增大字体发表评论阅读评论
@legendoffat 中国互联网络信息中心(CNNIC)被发现颁发了用于中间人攻击的证书,被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。

CNNIC是firefox和windows内置的CA, CA的意思是可以签发任意SSL证书,并且ff和windows都认为这个签发的证书是合理合法的

GFW只需在某个网关做一些处理, 大概的流程简单描述一下, 比如你用FF访问https://gmail.com,

首先在HTTPS握手阶段给你发一份CNNIC CA签发给gmail.com这个域名的SSL证书公钥, 同时,这个网关持有这个证书的私钥,

因为CNNIC CA是合法的CA, 所以FF对于这次HTTPS握手结果的验证是合法的

接下来你在gmail上的提交的数据都会根据CNNIC签发证书的公钥进行加密

然后GFW网关收到你的gmail数据传输请求, 会根据SSL协议先用私钥把你的数据解密, 顺带分析存储一份, 再用真正的gmailssl公钥加密原始传输数据再发给google的服务器

google服务器收到数据传输请求,按SSL协议规范验证也是完全合法的, 然后根据你的请求返回相关数据

这时候返回的数据对于GFW来说也是透明的, 所以它只需解包然后再用CNNIC签发的证书加密以后再发给FF

最终FF收到的数据,经过SSL协议规范验证也是完全合法的

但是, 你传输的xxoo内容已经完全被人掌握

4183_1

谷歌称,在3月20日发现有未经授权的数字证书,冒充成受信任的谷歌的域名。由一家叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由CNNIC发布的。

5c1b1c64e49f565.png_600x600

8c61cca725816e1.png_600x600
谷歌警告称此证书可能会冒充其他网站

CNNIC包含在所有主要操作系统的受信任的根证书存储区中,所以其颁发的证书被几乎所有浏览器和操作系统所信任。包括Windows、OS X、Linux等系统。

谷歌已经就此事及时通知了CNNIC和其他主流浏览器厂商,我们阻止了chrome信任 MCS的证书。CNNIC22日解释称MCS只会在其已经注册拥有的域名上颁发证书。然而,MCS没有把私匙放在合适的HSM,MCS把它安装在中间人代理设备上。这些设备伪装成安全连接,用来拦截MCS雇员的安全通讯用以监视雇员或者其他目的。雇员的计算机通常必须被配置为信任代理才能够做到这一点。然而,MCS为了简单省事,直接将证书颁发到公共受信任证证书。这种做法严重违反了证书信任系统的规则。

这种解释是符合事实的。然而,CNNIC还签发了不适合MCS持有的证书权利和预期母的。

由于谷歌已经使用了CRLSet更新,所以Chrome用户不需要采取任何行动。我们并不建议人们更改密码,或采取其他行动。
再次,此事件也凸显了互联网证书颁发机制公开透明的必须要。

在 twitter上,谷歌发言人补充道:”我们理解MCS只是想查看他们的员工的通讯内容。”

Mozilla发言人随后称对 MCS颁发的中级证书将在即将到来的Firefox 37中被吊销。

根据最新 Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。

该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的 Sub CA 证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。

Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的证书,因此被Google发现并报告了该问题。

Firefox从 37开始 将引入 OneCRL机制,将建立证书黑名单,拦截被滥用及不安全的证书。

目前 Mozilla正在商讨对CNNIC根证书的处理。
Jump to: