知識&消息

歷史事件回顧(Diginotar入侵事件)

簡單說明一下事件:

2011年8月28日的時候,有一位自稱伊朗的駭客(又是伊朗),在Gmail的論壇上提到,當他用gmail帳號要登入網站的時候,google chorme跳出警告訊息,說要該網站的憑證是無效的(此憑證的簽發日期為2011年7月10日),而8月29日的時候Diginotar趕快撤銷這個假的憑證,這件事情才爆發開來.

因為這是一個合法CA發出的憑證,怎麼會是假的ㄋ,而google chrome會跳出警告訊息,主要是因為之前的Comodo事件之後,google在瀏覽器中加了一個機制叫做uilt-in certificate pinning, 簡單說就是用gmail帳號登入的時候會綁定特定CA簽發的憑證,所以如果不是綁定的憑證就會跳出告警!

這件事最可惡的地方是Diginotar其實早就知道自己的系統被駭客入侵,卻沒有做為,當事件爆發時還想要用註銷憑證的方式來善後,無奈的是,駭客入侵系統後就立刻發出了20多個網域與500多張的憑證,網域牽涉如google,yahoo,facebook,荷蘭政府....等等知名網站,事件爆發後,各大瀏覽器廠商趕緊釋出patch將Diginotar的憑證從根憑證去除,換言之,各大流覽器與作業系統不信任此CA發出的憑證,也等於直接宣告此業者出局,因為用了他們的憑證,會跳出警告訊息,客戶就會有疑慮,結果越來越少人用,後來Diginotar就倒閉拉!

此事事件很重要的提醒是:
1.被駭客入侵的時候就必須趕快進行處理,而不是拖到被人發現.
2.憑證的盜用會讓一家公司倒閉,公司要做好資安的防護
3.登入網站的時候要機警,如果是假的SSL憑證得小心!

從Diginotar的事件,給我們一個警惕,作為一個憑證產品的供應商,每年都必須通過Web Trust For CA的稽核,在強度上應該是有一定的水準,可是系統依然被入侵,並取得控制權限,因此!除了稽核的落實度必須提升外,系統維運的人員也必須提高警覺,從前台到後台都必須把資安的防護做好,也才能給消費者使用上的信心,也因為此事件,有些人認為憑證並非如所說安全,這邊要強調的是:憑證的技術可以說是非常先進的,加上不斷的更新演算法與金鑰長度,要破解是非常不容易,這次 主要是因為系統被入侵,不是破解憑證技術,因此!這樣的產品還是繼續廣為大家所使用!請可以相信他的安全性是很高的!