※ [本文转录自 Soft_Job 看板 #1L7-rNUv ] 作者: ggg12345 (ggg) 看板: Soft_Job 标题: 谷歌警告称存在一个未经授权的证书危害所有操作 时间: Sat Apr 4 21:55:30 2015 逃避监听的方法就是加密通信. 但合法监听技术则是中间人代理转发, 侦测是否中间人就是侦测来往机器位置及 机器身份的CA认证. Email 本身一直都含有经过那些转送站的记录. 合法监听的技术还需要加入隐身及透通的本事. ============================================================================ 发信人: repeating (千王之王), 信区: Military 标 题: 中国封杀有关CNNIC发布中间人证书的文章 发信站: BBS 未名空间站 (Fri Mar 27 20:34:47 2015, 美东) http://www.peacehall.com/news/images/2015/03/201503272323china2.jpg 日前﹐谷歌发现在多个未授权的针对谷歌域名的电子证书﹐而这些证书的根证书属 於中国互联网络信息中心（CNNIC）。谷歌和Mozilla（火狐）分别公开了这一安全事件 ﹐就此分别发表了博客文章(Google, Mozilla)。但谷歌与Mozilla有关CNNIC发布中间 人攻击证书文章的中文翻译﹐则在中国被勒令删除。 中国着名IT博客“月光博客”不加任何评论﹐将谷歌的文章翻译成中文。在谷歌和 百度上用中文搜索“CNNIC中间人攻击”﹐他的这篇文章都是搜索的首个结果。3月26日 ﹐他在推特上表示﹐新闻办打电话给他﹐ 要求立即删除他的这篇文章。原文 http://www.w illiamlong.info/archives/4183.html 被删除了。但谷歌缓存仍然存在。 中国官媒环球将Mozilla的文章翻译成中文并发表。该文章 http://tech.huanqiu.com/ news/2015-03/5997225.html 也被删除。但谷歌缓存仍然存在。 中国科技新闻网站CNBeta对Mozilla的文章进行了报道﹐报道文章 http://www.cnbeta. com/articles/379765.htm 也被删除。 中国最大的IT社区网站CSDN对Mozilla文章的中文翻译 http://news.csdn.net/article .html?arcid=15823317 被删除。 这再次突出CNNIC参与了中国网络审查。CNNIC曾进行网络审查﹐而且正在、也将继 续进行网络审查。Greatfire再次呼吁谷歌、Mozilla、微软和苹果立即取消对CNNIC的 信任﹐以保护全球网民的用户信息。 本文英文版原载於Greatfire﹐中文版经授权由泡泡编译﹐文中观点不代表泡泡立场 附﹕月光博客被删文章 谷歌称CNNIC发布中间人攻击证书 根据谷歌官方安全博客报道﹐谷歌发现CNNIC颁发了多个针对谷歌域名的用於中间 人攻击的证书。这个名为MCS集团的中级证书颁发机构发行了多个谷歌域名的假证书﹐ 而MCS集团的中级证书则来自中国的CNNIC。 该证书冒充成受信任的谷歌的域名﹐被用於部署到网络防火墙中﹐用於劫持所有处 於该防火墙後的HTTPS网络通信﹐而绕过浏览器警告。 谷歌联系了CNNIC﹐CNNIC在3月22日回应称﹐CNNIC向MCS发行了一个无约束的中级 证书﹐MCS本应该只向它拥有的域名发行证书﹐但 MCS将其安装在一个防火墙设备上充 当中间人代理﹐伪装成目标域名﹐用於执行加密连接拦截（SSL MITM）。企业如出於法 律或安全理由需要监控员工的加密连接﹐必须限制在企业内网中﹐然而防火墙设备却在 用户访问外部服务时发行了不受其控制的域名的证 书﹐这种做法严重违反了证书信任 系统的规则。这种解释符合事实﹐然而﹐CNNIC还是签发了不适合MCS持有的证书。 中国封杀有关CNNIC发布中间人证书的文章 CNNIC作为根CA被几乎所有操作系统和浏览器信任﹐谷歌已经将这些情况通知了所 有的主流浏览器﹐谷歌所有版本的Chrome浏览器（包括 Windows、OS X、Linux版）、 Firefox浏览器都会拦截这些证书﹐Firefox从37版开始引入OneCRL机制﹐建立证书黑名 单﹐拦截被滥用及不安全的证书。 这件事情再次显示﹐互联网证书颁发机制公开透明的必要性。 谷歌英文博客原文﹕Maintaining digital certificate security Mozilla英文博客原文﹕Revoking Trust in one CNNIC Intermediate Certificate 参考资料﹕中国互联网络信息中心（China Internet Network Information Center﹐缩写为CNNIC）﹐是经中华人民共和国国务院主管部门批准﹐於1997年6月3日 成立的互联网管理和服务机构。中国互联网络信息中心成立 伊始﹐由中国科学院主管 ﹔2014年末﹐改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管 ========================================================================== 发信人: thrifty (yang), 信区: Military 标 题: 警惕CNNIC﹗谷歌警告称存在一个未经授权的证书危害所有操作系统 发信站: BBS 未名空间站 (Thu Apr 2 23:42:44 2015, 美东) CNNIC是firefox和windows内置的CA, CA的意思是可以签发任意SSL证书,并且ff和 windows都认为这个签发的证书是合理合法的 GFW只需在某个网关做一些处理, 大概的流程简单描述一下, 比如你用FF访问https:// gmail.com, 首先在HTTPS握手阶段给你发一份CNNIC CA签发给gmail.com这个域名的SSL证书公钥, 同时,这个网关持有这个证书的私钥, 因为CNNIC CA是合法的CA, 所以FF对於这次HTTPS握手结果的验证是合法的 接下来你在gmail上的提交的数据都会根据CNNIC签发证书的公钥进行加密 然後GFW网关收到你的gmail数据传输请求, 会根据SSL协议先用私钥把你的数据解密, 顺带分析存储一份, 再用真正的gmailssl公钥加密原始传输数据再发给google的服务器 google服务器收到数据传输请求,按SSL协议规范验证也是完全合法的, 然後根据你的请 求返回相关数据 这时候返回的数据对於GFW来说也是透明的, 所以它只需解包然後再用CNNIC签发的证书 加密以後再发给FF 最终FF收到的数据,经过SSL协议规范验证也是完全合法的 但是, 你传输的xxoo内容已经完全被人掌握 谷歌称﹐在3月20日发现有未经授权的数字证书﹐冒充成受信任的谷歌的域名。由一家 叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由CNNIC发布的。 http://www.letscorp.net/lynn/wp-content/uploads/2015/03/4183_1-241x300.jpg http://www.letscorp.net/lynn/wp-content/uploads/2015/03/8c61cca725816e1.png_600x 600-274x300.png 谷歌警告称此证书可能会冒充其他网站 CNNIC包含在所有主要操作系统的受信任的根证书存储区中﹐所以其颁发的证书被几乎 所有浏览器和操作系统所信任。包括Windows、OS X、Linux等系统。 谷歌已经就此事及时通知了CNNIC和其他主流浏览器厂商﹐我们阻止了chrome信任 MCS 的证书。CNNIC22日解释称MCS只会在其已经注册拥有的域名上颁发证书。然而﹐MCS没 有把私匙放在合适的HSM﹐MCS把它安装在中间人代理设备上。这些设备伪装成安全连接 ﹐用来拦截MCS雇员的安全通讯用以监视雇员或者其他目的。雇员的计算机通常必须被 配置为信任代理才能够做到这一点。然而﹐MCS为了简单省事﹐直接将证书颁发到公共 受信任证证书。这种做法严重违反了证书信任系统的规则。 这种解释是符合事实的。然而﹐CNNIC还签发了不适合MCS持有的证书权利和预期母的。 由於谷歌已经使用了CRLSet更新﹐所以Chrome用户不需要采取任何行动。我们并不建议 人们更改密码﹐或采取其他行动。 再次﹐此事件也凸显了互联网证书颁发机制公开透明的必须要。 在 twitter上﹐谷歌发言人补充道﹕”我们理解MCS只是想查看他们的员工的通讯内容 。” Mozilla发言人随後称对 MCS颁发的中级证书将在即将到来的Firefox 37中被吊销。 根据最新 Mozilla安全博客的博文﹐CNNIC被发现颁发了用於中间人攻击的证书。该证 书被用於部署到网络防火墙中﹐用於劫持所有处於该防火墙後的HTTPS网络通信﹐而绕 过浏览器警告。 该证书来自CNNIC与某个公司的一个合同﹐该合同规定该公司仅用CNNIC提供的 Sub CA 证书签发属於自己公司名下的网站。但被Google发现该证书被用於部署到防火墙中﹐用 於劫持该网络中的所有HTTPS通信。 Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的证书﹐因此被Google 发现并报告了该问题。 Firefox从 37开始 将引入 OneCRL机制﹐将建立证书黑名单﹐拦截被滥用及不安全的证 书。 目前 Mozilla正在商讨对CNNIC根证书的处理。 ※ 编辑: ggg12345 (211.76.254.3), 04/04/2015 21:57:08

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: ggg12345 (211.76.254.3), 04/04/2015 22:49:34