Pages

Tuesday, 24 March 2015

再次警惕CNNIC!谷歌警告称存在一个未经授权的证书危害所有操作系统

   中国互联网络信息中心(CNNIC)被发现颁发了用于中间人攻击的证书,被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。

    CNNIC是firefox和windows内置的CA, CA的意思是可以签发任意SSL证书,并且ff和windows都认为这个签发的证书是合理合法的

    GFW只需在某个网关做一些处理, 大概的流程简单描述一下, 比如你用FF访问https://gmail.com,

    首先在HTTPS握手阶段给你发一份CNNIC CA签发给gmail.com这个域名的SSL证书公钥, 同时,这个网关持有这个证书的私钥,

    因为CNNIC CA是合法的CA, 所以FF对于这次HTTPS握手结果的验证是合法的

    接下来你在gmail上的提交的数据都会根据CNNIC签发证书的公钥进行加密

    然后GFW网关收到你的gmail数据传输请求, 会根据SSL协议先用私钥把你的数据解密, 顺带分析存储一份, 再用真正的gmailssl公钥加密原始传输数据再发给google的服务器

    google服务器收到数据传输请求,按SSL协议规范验证也是完全合法的, 然后根据你的请求返回相关数据

    这时候返回的数据对于GFW来说也是透明的, 所以它只需解包然后再用CNNIC签发的证书加密以后再发给FF

    最终FF收到的数据,经过SSL协议规范验证也是完全合法的

    但是, 你传输的xxoo内容已经完全被人掌握.

谷歌称,在3月20日发现有未经授权的数字证书,冒充成受信任的谷歌的域名。由一家叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由CNNIC发布的。

谷歌警告称此证书可能会冒充其他网站

CNNIC包含在所有主要操作系统的受信任的根证书存储区中,所以其颁发的证书被几乎所有浏览器和操作系统所信任。包括Windows、OS X、Linux等系统。

谷歌已经就此事及时通知了CNNIC和其他主流浏览器厂商,我们阻止了chrome信任 MCS的证书。CNNIC22日解释称MCS只会在其已经注册拥有的域名上颁发证书。然而,MCS没有把私匙放在合适的HSM,MCS把它安装在中间人代理设备上。这些设备伪装成安全连接,用来拦截MCS雇员的安全通讯用以监视雇员或者其他目的。雇员的计算机通常必须被配置为信任代理才能够做到这一点。然而,MCS为了简单省事,直接将证书颁发到公共受信任证证书。这种做法严重违反了证书信任系统的规则。

这种解释是符合事实的。然而,CNNIC还签发了不适合MCS持有的证书权利和预期母的。

由于谷歌已经使用了CRLSet更新,所以Chrome用户不需要采取任何行动。我们并不建议人们更改密码,或采取其他行动。
再次,此事件也凸显了互联网证书颁发机制公开透明的必须要。

在 twitter上,谷歌发言人补充道:”我们理解MCS只是想查看他们的员工的通讯内容。”

Mozilla发言人随后称对 MCS颁发的中级证书将在即将到来的Firefox 37中被吊销。

根据最新 Mozilla安全博客的博文,CNNIC被发现颁发了用于中间人攻击的证书。该证书被用于部署到网络防火墙中,用于劫持所有处于该防火墙后的HTTPS网络通信,而绕过浏览器警告。

该证书来自CNNIC与某个公司的一个合同,该合同规定该公司仅用CNNIC提供的 Sub CA 证书签发属于自己公司名下的网站。但被Google发现该证书被用于部署到防火墙中,用于劫持该网络中的所有HTTPS通信。

Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的证书,因此被Google发现并报告了该问题。

Firefox从 37开始 将引入 OneCRL机制,将建立证书黑名单,拦截被滥用及不安全的证书。

目前 Mozilla正在商讨对CNNIC根证书的处理。
------------------
 Google宣布将在自家产品中全面吊销CNNIC根证书

Google 将在未来的 Chrome 更新中移除 CNNIC 和 EV CAs 的根证书。
在联合调查之后 Google宣布在产品中撤销CNNIC根及EV证书信任,直至CNNIC实施技术及流程改进杜绝此前发生的证书伪造为止。现有CNNIC证书客户将暂时以白名单形式继续支持一段时间作为过渡。
@love_sci4ever:CNNIC滥发证书太可怕了。相当于国家机器造假。想想当年体操女运动员年龄造假事件,国际体联被批评后无奈的说:她们的护照都是国家发的,我们有什么权力去质疑呢?
@LvWind: CNNIC爆炸!但是也就业内懂的人才会高兴吧,普通人只会知道用Chrome打开好多网站会爆警告,这肯定是Chrome的错,而不会怪CNNIC。所以别自hi了。。
目前(1号之前签发的)CNNIC证书不会被吊销,暂时以白名单形式存在。

Maintaining digital certificate security
Posted: Monday, March 23, 2015
Posted by Adam Langley, Security Engineer
On Friday, March 20th, we became aware of unauthorized digital certificates for several Google domains. The certificates were issued by an intermediate certificate authority apparently held by a company called MCS Holdings. This intermediate certificate was issued by CNNIC.
CNNIC is included in all major root stores and so the misissued certificates would be trusted by almost all browsers and operating systems. Chrome on Windows, OS X, and Linux, ChromeOS, and Firefox 33 and greater would have rejected these certificates because of public-key pinning, although misissued certificates for other sites likely exist.
We promptly alerted CNNIC and other major browsers about the incident, and we blocked the MCS Holdings certificate in Chrome with a CRLSet push. CNNIC responded on the 22nd to explain that they had contracted with MCS Holdings on the basis that MCS would only issue certificates for domains that they had registered. However, rather than keep the private key in a suitable HSM, MCS installed it in a man-in-the-middle proxy. These devices intercept secure connections by masquerading as the intended destination and are sometimes used by companies to intercept their employees’ secure traffic for monitoring or legal reasons. The employees’ computers normally have to be configured to trust a proxy for it to be able to do this. However, in this case, the presumed proxy was given the full authority of a public CA, which is a serious breach of the CA system. This situation is similar to a failure by ANSSI in 2013.
This explanation is congruent with the facts. However, CNNIC still delegated their substantial authority to an organization that was not fit to hold it.
Chrome users do not need to take any action to be protected by the CRLSet updates. We have no indication of abuse and we are not suggesting that people change passwords or take other action. At this time we are considering what further actions are appropriate.
This event also highlights, again, that the Certificate Transparency effort is critical for protecting the security of certificates in the future.
(Details of the certificate chain for software vendors can be found here.)
Update – April 1: As a result of a joint investigation of the events surrounding this incident by Google and CNNIC, we have decided that the CNNIC Root and EV CAs will no longer be recognized in Google products. This will take effect in a future Chrome update. To assist customers affected by this decision, for a limited time we will allow CNNIC’s existing certificates to continue to be marked as trusted in Chrome, through the use of a publicly disclosed whitelist. While neither we nor CNNIC believe any further unauthorized digital certificates have been issued, nor do we believe the misissued certificates were used outside the limited scope of MCS Holdings’ test network, CNNIC will be working to prevent any future incidents. CNNIC will implement Certificate Transparency for all of their certificates prior to any request for reinclusion. We applaud CNNIC on their proactive steps, and welcome them to reapply once suitable technical and procedural controls are in place.
--------------------------

谷歌不再承认CNNIC颁发的证书


中国互联网络信息中心(China Internet Network Information Center)周四批评了谷歌(Google)不再承认由该中心颁发的信任证书之决定,这是中国和外国科技公司之间互不信任的又一迹象。
谷歌周三表示,将不再信任经中国互联网络信息中心验证的网站;该中心负责管理维护中国互联网地址系统。谷歌称,将不再承认由该中心颁发的、用于验证 网站具有合法业务的信任证书。这种证书保存在托管网站的服务器上,供互联网浏览器查阅,旨在保护互联网用户不受身份信息外泄和所谓钓鱼网站等欺诈行为的影 响。
谷歌这一决定意味着,对于其Chrome浏览器的用户,任何由中国互联网络信息中心认证的新网站都会被标上警示信息,称谷歌无法验证该网站的安全性,用户不应打开该网页。
中国互联网络信息中心在其网站上发布声明称,对谷歌作出的决定“难以理解和接受”,并敦促谷歌充分考虑和保障用户权益。该中心还表示,将保障已有用户的使用不受影响。
对于谷歌所发的声明,该公司一位发言人未予详述说明。
谷歌周三在官方安全博客上说,在与互联网络信息中心就埃及公司MCS Holdings钻了安全漏洞一事展开联合调查后,决定不再接受互联网络信息中心的证书。尽管谷歌判定MCS滥用证书的举动并非恶意为之,但它指责称,互 联网络信息中心给了这样一家公司太多授权,而这家公司根本不适合享有这样的授权。MSC则承认自己不该创建未经授权的证书,并表示已经迅速改正了这个错 误。
谷歌表示,在改进完验证流程后,中国互联网络信息中心可以申请让谷歌再次接受其证书。与此同时,在一段有限的时间之内,已经拥有该中心证书的网站在Chrome上仍然会被标记为“可信任的”。但谷歌没有就此详述。
这一变动将会影响到那些加密的中国网站,其网址以“https”开头、以“.cn”结尾。这种类型的网站包括电子邮箱、网购服务以及其他需要用户输入个人信息、密码的站点。

中国互联网络信息中心(China Internet Network Information Center)周四批评了谷歌(Google)不再承认由该中心颁发的信任证书之决定,这是中国和外国科技公司之间互不信任的又一迹象。
谷歌周三表示,将不再信任经中国互联网络信息中心验证的网站;该中心负责管理维护中国互联网地址系统。谷歌称,将不再承认由该中心颁发的、用于验证 网站具有合法业务的信任证书。这种证书保存在托管网站的服务器上,供互联网浏览器查阅,旨在保护互联网用户不受身份信息外泄和所谓钓鱼网站等欺诈行为的影 响。
谷歌这一决定意味着,对于其Chrome浏览器的用户,任何由中国互联网络信息中心认证的新网站都会被标上警示信息,称谷歌无法验证该网站的安全性,用户不应打开该网页。
中国互联网络信息中心在其网站上发布声明称,对谷歌作出的决定“难以理解和接受”,并敦促谷歌充分考虑和保障用户权益。该中心还表示,将保障已有用户的使用不受影响。
对于谷歌所发的声明,该公司一位发言人未予详述说明。
谷歌周三在官方安全博客上说,在与互联网络信息中心就埃及公司MCS Holdings钻了安全漏洞一事展开联合调查后,决定不再接受互联网络信息中心的证书。尽管谷歌判定MCS滥用证书的举动并非恶意为之,但它指责称,互 联网络信息中心给了这样一家公司太多授权,而这家公司根本不适合享有这样的授权。MSC则承认自己不该创建未经授权的证书,并表示已经迅速改正了这个错 误。
谷歌表示,在改进完验证流程后,中国互联网络信息中心可以申请让谷歌再次接受其证书。与此同时,在一段有限的时间之内,已经拥有该中心证书的网站在Chrome上仍然会被标记为“可信任的”。但谷歌没有就此详述。
这一变动将会影响到那些加密的中国网站,其网址以“https”开头、以“.cn”结尾。这种类型的网站包括电子邮箱、网购服务以及其他需要用户输入个人信息、密码的站点。