MCS憑證偽冒事件說明

又發生了憑證偽冒濫發的事件,這次的苦主可是CNNIC(中國互連網絡信息中心),由於埃及的MCS(中繼憑證廠商)不知是錯用還是故意,竟然把偽造google網域的憑證放在流量管理的裝置中,用來監控員工上google網站的行為,結果被google發現,進而導致CNNIC被chrome,firefox除名,來了解一下緣由吧!

2015年3月20日google發現有幾個未經授權的憑證(內有google的網域)被發出並使用,而發證的廠商是一家在埃及的廠商叫做MCS Holding(http://www.mcsholding.com/)的廠商,而此中繼憑證則是由CNNIC所發給的,

也就是CNNIC(root)->MCS Holding(intermediate)->偽冒google網域憑證(server)

google發現之後趕快先封鎖MCS所發出的偽冒憑證(在CRLSET中將此憑證註銷),然後詢問CNNIC與通知其他瀏覽器廠商這件事情,CNNIC的回覆是說MCS只能夠發出該公司註冊過的網域憑證,不能夠發其他的網域憑證!

後來跟MCS查詢,MCS出來解釋說 他們把偽造的google網域的憑證,放到監控流量的設備中,讓IT的人可以看到員工上google網站的流量內容, 可以想像一下, 這跟中間人攻擊是同樣的概念, 把https導向監控裝置, 然後監控裝置在https到google網站!如下所示

員工PC(https) ---> (https)google網站

員工PC (https) ---> (https)流量監控設備(https) --->(https)google網站

                                                             中間人

雖然MCS解釋說是測試用,此憑證沒有惡意的用途,此事件凸顯CNNIC發給MCS的憑證權限過大,讓流量監控的設備有機會可以進行中間人的攻擊,這是很嚴重的CNNIC(CA)把關出問題!

原本還以為google只是撤銷發出的偽冒憑證, 後來更進一步的宣布, 要取消CNNIC根憑證以及EV憑證的認證, 也就是說,未來google的瀏覽器或者其他產品都會把CNNIC的憑證當作是不信任的憑證,直接宣告CNNIC的憑證業務出局(雖然說日後CNNIC也是可以再次提出申請)

以後CNNIC發出的憑證,瀏覽器都會跳出警告,雖然CNNIC說他們的客戶權益不會受損,但是最直接的就是,客戶還要繼續使用CNNIC發出的憑證嗎?

後來,firefox也宣布跟進, 接下來應該IE也會宣布跟進! 這樣一來! CNNIC等於只好等之後申請通過後才能再次受到瀏覽器業者的信任了!

MCS Holding的聲明:

CNNIC的聲明:

google的原文:

firefox的原文:(不信任2015.04.01之後CNNIC的所發出憑證)

後記:

如何發現=>在MCS監控員工的瀏覽活動中,有員工連上了google的網站,而chrome本身就有機制針對不合法的憑證進行確認,並且回報!

管控執行問題=>這次的問題凸顯根憑證CA商與中繼憑證CA商之間的合作約束,即使有合約的規範,也難防止憑證的濫發!根憑證CA商是否有能力限制憑證的使用,這是個問題!

憑證透明度=>google再次提到CT(Certificate Transparency)制度的重要,讓憑證使用透明化,可被稽核,可被監控,才能有效杜絕憑證的濫發!