售前咨询
技术支持
渠道合作

荷兰 CA DigiNotar 因服务器被黑失去信任而宣告破产

2011年八月,荷兰 CA 安全证书提供商 DigiNotar 的服务器被发现遭黑客入侵。黑客为包括  Gtrustauth.cn 在内的 531 个网站发行了伪造的 CA 证书。目前调查已经结束。现证实,DigiNotar 的所有八台证书服务器均遭入侵。

DigiNotar 在2011年7月19日发现了入侵,但直到8月份外界才知道入侵事件。

2011年八月,在 Gmail 帮助论坛和 Bugzilla,Gmail 用户报告发现了荷兰机构 DigiNotar发行的 CA 证书,发行时间是2011年7月10日。证书本身是有效的,因此可被利用发动中间人攻击,将用户流量流经其它路由。此次攻击与年初发生的伪造 Comodo CA 证书如出一辙。伊朗政府被怀疑利用伪造但有效的 CA 证书对伊朗 Gmail 用户发动中间人攻击。

DigiNotar 的母公司 Vasco 发表声明承认遭黑客入侵。Vasco 称,DigiNotar 是在7月19日检测到 CA 基础系统遭入侵。此后,DigiNotar 立即按照既定规则采取行动,立即撤销所有伪造证书。但最近的事件显示,至少有一个伪造证书在当时没被撤销。该公司表示将采取一切可能的预防措施确保 CA 安全,并暂停 CA 证书销售。Google 和 Mozilla 都分别为 Chrome 和 Firefox 发布补丁移除了 DigiNotar root CA,微软也为 Windows XP、Windows Server 2003、Windows Vista、Server 2008、Windows 7 和 Server 2008 R2发布补丁,将其列入不信任 CA 名单。

受雇调查 DigiNotar 入侵事件的安全公司 Fox-IT 公布了初步调查报告,认为攻击源头是伊朗。攻击者共发行了 531 个伪造证书(xlsx 格式清单),包括了 Google、微软、雅虎、Twitter、Facebook、WordPress.com、Torproject、中情局、军情六处和摩萨德等。发行时间是在7月10日到20日之间。

Fox-IT 报告称,DigiNotar 在7月19日注意到了入侵,但似乎未采取任何行动。它还发现,所有的证书服务器都属于一个Windows 域,因此只要一个管理帐号就能控制一切;管理帐号使用了弱密码,容易被暴力破解;攻击者使用的恶意程序和软件可以被现有的杀毒软件探测到;而服务器上运行的软件多过期和未打上补丁。

Fox-IT 分析了 DigiNotar OCSP 服务器查询记录,发现攻击期间 99% 的查询都来自伊朗。浏览器通过查询 OCSP 服务器核查证书是否被撤销,这一证据可以确认伪造证书是被伊朗政府或 ISP 用于监视用户通信。

DigiNotar 因为这次攻击而失去信任并宣告破产。

现在,关于此次攻击的调查报告(PDF)已正式递交到荷兰政府。

调查显示攻击比预想的要严重得多:DigiNotar 的所有八台证书服务器全部遭到入侵,由于访问日志全部保存在相同的服务器上,黑客入侵后清理和伪造了入侵痕迹,因此日志无法提供有关入侵的证据和线索。调查还发现一系列没有使用的 CA 证书,目前还不清楚这些证书有没有被使用过。

 

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用SSL证书

提交成功!

咨询客服