印度機(jī)構(gòu)造SSL"假證書" 威脅Gmail安全
責(zé)編:admin |2014-07-15 14:44:49近日CA根證書下的印度證書認(rèn)證控制機(jī)構(gòu)和印度國家信息中心被曝錯誤簽發(fā)了證書,可被黑客利用針對Google/Yahoo的https等加密服務(wù)進(jìn)行竊聽、欺騙或釣魚,威脅Gmail等加密服務(wù)。為此微軟緊急發(fā)布安全公告,并推送補(bǔ)丁吊銷這批假證書。
印度國家信息安全中心NIC被發(fā)現(xiàn)使用Indian CCA發(fā)行的次級CA證書發(fā)行了多個假的Google和雅虎SSL證書(三個Google域名和一個雅虎域名,此外還有yahoo-inc.com、 yahooapis.com、static.com和gstatic.com等)。未授權(quán)的SSL證書可被用于發(fā)動中間人攻擊,如嗅探內(nèi)容和釣魚。
Indian CCA被微軟的Root Store所信任,偽造證書事件主要影響使用微軟IE和其它Windows應(yīng)用程序的用戶。Indian CCA已經(jīng)撤銷了NIC持有的次級CA證書,聲稱原因是NIC的證書發(fā)行系統(tǒng)遭到了黑客入侵。
微軟安全公告宣布開始移除該證書。公告顯示,此問題會影響所有受支持的Microsoft Windows版本。目前,微軟的Windows8、Windows8.1、Server2012、Server2012 R2版本,以及運(yùn)行的Windows Phone8或Windows Phone的8.1設(shè)備會自動更新撤銷證書,針對其他Microsoft Windows操作系統(tǒng),微軟為用戶提供了撤銷證書的補(bǔ)丁。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧