在谷歌揭露在其域名中發(fā)現(xiàn)了法國(guó)的網(wǎng)絡(luò)安全防御部， Agence nationale de la sécurité des systèmes d’information (ANSSI)的偽造數(shù)字證書(shū)。

[[91829]]

谷歌在其安全博客中宣稱(chēng)，一個(gè)中間證書(shū)發(fā)行了此偽造證書(shū)，并把此證書(shū)鏈接到ANSSI。

“中間證書(shū)攜帶著所有的CA授權(quán)，所以任何人只要得到這樣的一張中間證書(shū)就可以用它偽造出任何一張他想要得到的網(wǎng)站證書(shū)。”谷歌在博客中這樣寫(xiě)道。

從ANSSI的說(shuō)辭中，網(wǎng)絡(luò)防御組織揭露出中間證書(shū)實(shí)際上是ANSSI自己的基礎(chǔ)設(shè)施管理的信任管理架構(gòu)，或者說(shuō)就是"L’infrastructure de gestion de la confiance de l’administration" (IGC/A)。ANSSI對(duì)于法國(guó)來(lái)說(shuō)本身就是網(wǎng)絡(luò)響應(yīng)和分割監(jiān)測(cè)機(jī)制。

ANSSI聲明偽造證書(shū)是一種“隨著使用過(guò)程而產(chǎn)生為了保障IT更加安全，卻造成了人為錯(cuò)誤”的結(jié)果.這種錯(cuò)誤對(duì)于整個(gè)網(wǎng)絡(luò)安全來(lái)說(shuō)并不造成影響，對(duì)法國(guó)的政府和普通大眾也不會(huì)造成什么影響。

谷歌認(rèn)為證書(shū)被運(yùn)用于商業(yè)設(shè)備中，在私人網(wǎng)絡(luò)環(huán)境中使用，識(shí)別和監(jiān)測(cè)加密流量。根據(jù)谷歌的說(shuō)話，用戶在上網(wǎng)的時(shí)候要倍加留意此類(lèi)事情的發(fā)生，但是操作卻違反了ANSSI的程序原則。

谷歌用這次事件強(qiáng)調(diào)證書(shū)透明度的必要性，打算修復(fù)SSL證書(shū)系統(tǒng)中的缺陷，這種缺陷易導(dǎo)致中間人進(jìn)攻和網(wǎng)絡(luò)欺詐。谷歌針對(duì)此類(lèi)漏洞的對(duì)策是，采用CA框架使監(jiān)控和審查這些證書(shū)，如此來(lái)排除流氓CA或者當(dāng)違規(guī)證書(shū)企圖進(jìn)入的時(shí)候進(jìn)行隔離。

當(dāng)這種框架被CA采納通過(guò)的時(shí)候，其效果歸根結(jié)底有賴于打算加入哪一種CA。

這已經(jīng)不是第一次SSL證書(shū)漏洞被曝光事件了。美國(guó)國(guó)家安全局曾被控通過(guò)未被授權(quán)的證書(shū)使用中間人攻擊來(lái)對(duì)抗谷歌。此外，在2011年8月，DigiNotar漏洞事件中，另一個(gè)發(fā)現(xiàn)一名伊朗黑客制造出了惡意證書(shū)來(lái)對(duì)付谷歌的域名。攔截用戶的Gmail密碼。