微软,Mozilla和Opera软件公司今天加入了谷歌在撤销已颁发的法国网络安全机构的从属证书颁发机构(CA) […]
微软,Mozilla和Opera软件公司今天加入了谷歌在撤销已颁发的法国网络安全机构的从属证书颁发机构(CA)的无赖数字证书。
谷歌撤销证书,其Chrome浏览器的用户在周六经过四天的调查。微软,Mozilla和Opera软件公司纷纷效仿周一。
在一个安全公告,微软表示,它已经发布了一个更新的Windows的大多数版本-包括的Windows Phone 8中,Windows 8.1和Windows Server 2012 R2 -即吊销相关证书。不像其他的浏览器厂商,微软的记录值得信赖的数字证书在Windows中,而不是在它的Internet Explorer(IE)浏览器。
但是,Windows PC的业主仍在运行的12岁的Windows XP第三个被冷落在寒冷的。“没有更新可在此时间内为客户运行的是Windows XP和Windows Server 2003中,”微软在安全公告中说。
谷歌的发现也促使Mozilla的废止流氓证书。该撤销将被包含在火狐26,这是预定出货日(星期二),Mozilla的在说,博客文章今天。
Opera软件公司列入黑名单证书在旧版本的Opera浏览器。这家挪威公司的最新,歌剧12,没有需要更新,因为该版本没有自动信任ANSSI(法新社国立德拉scurit德systmes D'信息),法国网络与信息安全局的中间CA签发的正本未经授权证书。
据ANSSI,该证书是由DGTrsor,财政部法国部签署。ANSSI描述的失态是“人为错误……在一个旨在加强财政法国外交部的整体IT安全流程。”
据谷歌和Mozilla,ANSSI发现,二级证书安装网络监控设备,并能嗅出当地的交通,并从第三方网站。微软警告说,“攻击者可以使用这些证书来欺骗内容,进行钓鱼攻击,或执行人为干预的中间人攻击”针对大量谷歌拥有的域,包括google.com和youtube.com的。
浏览器制造商的快速反应是相对于类似的事件在过去,当证书失效需要较长的时间。在2011年年中2012年12月由土耳其CA Turktrust发行并安装在防火墙设备的中间证书没有被吊销由微软和其他人,直到2013年一月初。
像ANSSI支持流氓证书,Turktrust的是能够欺骗谷歌的各种领域。