※ [本文转录自 Soft_Job 看板 #1L7-rNUv ]
作者: ggg12345 (ggg) 看板: Soft_Job
标题: 谷歌警告称存在一个未经授权的証书危害所有操作
时间: Sat Apr 4 21:55:30 2015
逃避监听的方法就是加密通信.
但合法监听技术则是中间人代理转发, 侦测是否中间人就是侦测来往机器位置及
机器身份的CA认证.
Email 本身一直都含有经过那些转送站的记录.
合法监听的技术还需要加入隐身及透通的本事.
============================================================================
发信人: repeating (千王之王), 信区: Military
标 题: 中国封杀有关CNNIC发布中间人証书的文章
发信站: BBS 未名空间站 (Fri Mar 27 20:34:47 2015, 美东)
http://www.peacehall.com/news/images/2015/03/201503272323china2.jpg
日前﹐谷歌发现在多个未授权的针对谷歌域名的电子証书﹐而这些証书的根証书属
于中国互联网络信息中心(CNNIC)。谷歌和Mozilla(火狐)分别公开了这一安全事件
﹐就此分别发表了博客文章(Google, Mozilla)。但谷歌与Mozilla有关CNNIC发布中间
人攻击証书文章的中文翻译﹐则在中国被勒令删除。
中国著名IT博客“月光博客”不加任何评论﹐将谷歌的文章翻译成中文。在谷歌和
百度上用中文搜索“CNNIC中间人攻击”﹐他的这篇文章都是搜索的首个结果。3月26日
﹐他在推特上表示﹐新闻办打电话给他﹐ 要求立即删除他的这篇文章。原文 http://www.w
illiamlong.info/archives/4183.html 被删除了。但谷歌缓存仍然存在。
中国官媒环球将Mozilla的文章翻译成中文并发表。该文章 http://tech.huanqiu.com/
news/2015-03/5997225.html 也被删除。但谷歌缓存仍然存在。
中国科技新闻网站CNBeta对Mozilla的文章进行了报道﹐报道文章 http://www.cnbeta.
com/articles/379765.htm 也被删除。
中国最大的IT社区网站CSDN对Mozilla文章的中文翻译 http://news.csdn.net/article
.html?arcid=15823317 被删除。
这再次突出CNNIC参与了中国网络审查。CNNIC曾进行网络审查﹐而且正在、也将继
续进行网络审查。Greatfire再次呼吁谷歌、Mozilla、微软和苹果立即取消对CNNIC的
信任﹐以保护全球网民的用户信息。
本文英文版原载于Greatfire﹐中文版经授权由泡泡编译﹐文中观点不代表泡泡立场
附﹕月光博客被删文章
谷歌称CNNIC发布中间人攻击証书
根据谷歌官方安全博客报道﹐谷歌发现CNNIC颁发了多个针对谷歌域名的用于中间
人攻击的証书。这个名为MCS集团的中级証书颁发机构发行了多个谷歌域名的假証书﹐
而MCS集团的中级証书则来自中国的CNNIC。
该証书冒充成受信任的谷歌的域名﹐被用于部署到网络防火墙中﹐用于劫持所有处
于该防火墙后的HTTPS网络通信﹐而绕过浏览器警告。
谷歌联系了CNNIC﹐CNNIC在3月22日回应称﹐CNNIC向MCS发行了一个无约束的中级
証书﹐MCS本应该只向它拥有的域名发行証书﹐但 MCS将其安装在一个防火墙设备上充
当中间人代理﹐伪装成目标域名﹐用于执行加密连接拦截(SSL MITM)。企业如出于法
律或安全理由需要监控员工的加密连接﹐必须限制在企业内网中﹐然而防火墙设备却在
用户访问外部服务时发行了不受其控制的域名的証 书﹐这种做法严重违反了証书信任
系统的规则。这种解释符合事实﹐然而﹐CNNIC还是签发了不适合MCS持有的証书。
中国封杀有关CNNIC发布中间人証书的文章
CNNIC作为根CA被几乎所有操作系统和浏览器信任﹐谷歌已经将这些情况通知了所
有的主流浏览器﹐谷歌所有版本的Chrome浏览器(包括 Windows、OS X、Linux版)、
Firefox浏览器都会拦截这些証书﹐Firefox从37版开始引入OneCRL机制﹐建立証书黑名
单﹐拦截被滥用及不安全的証书。
这件事情再次显示﹐互联网証书颁发机制公开透明的必要性。
谷歌英文博客原文﹕Maintaining digital certificate security
Mozilla英文博客原文﹕Revoking Trust in one CNNIC Intermediate
Certificate
参考资料﹕中国互联网络信息中心(China Internet Network Information
Center﹐缩写为CNNIC)﹐是经中华人民共和国国务院主管部门批准﹐于1997年6月3日
成立的互联网管理和服务机构。中国互联网络信息中心成立 伊始﹐由中国科学院主管
﹔2014年末﹐改由中央网络安全和信息化领导小组办公室、国家互联网信息办公室主管
==========================================================================
发信人: thrifty (yang), 信区: Military
标 题: 警惕CNNIC﹗谷歌警告称存在一个未经授权的証书危害所有操作系统
发信站: BBS 未名空间站 (Thu Apr 2 23:42:44 2015, 美东)
CNNIC是firefox和windows内置的CA, CA的意思是可以签发任意SSL証书,并且ff和
windows都认为这个签发的証书是合理合法的
GFW只需在某个网关做一些处理, 大概的流程简单描述一下, 比如你用FF访问https://
gmail.com,
首先在HTTPS握手阶段给你发一份CNNIC CA签发给gmail.com这个域名的SSL証书公钥,
同时,这个网关持有这个証书的私钥,
因为CNNIC CA是合法的CA, 所以FF对于这次HTTPS握手结果的验証是合法的
接下来你在gmail上的提交的数据都会根据CNNIC签发証书的公钥进行加密
然后GFW网关收到你的gmail数据传输请求, 会根据SSL协议先用私钥把你的数据解密,
顺带分析存储一份, 再用真正的gmailssl公钥加密原始传输数据再发给google的服务器
google服务器收到数据传输请求,按SSL协议规范验証也是完全合法的, 然后根据你的请
求返回相关数据
这时候返回的数据对于GFW来说也是透明的, 所以它只需解包然后再用CNNIC签发的証书
加密以后再发给FF
最终FF收到的数据,经过SSL协议规范验証也是完全合法的
但是, 你传输的xxoo内容已经完全被人掌握
谷歌称﹐在3月20日发现有未经授权的数字証书﹐冒充成受信任的谷歌的域名。由一家
叫 MCS 的中间証书颁发机构颁发的証书。此中间証书是由CNNIC发布的。
http://www.letscorp.net/lynn/wp-content/uploads/2015/03/4183_1-241x300.jpg
http://www.letscorp.net/lynn/wp-content/uploads/2015/03/8c61cca725816e1.png_600x
600-274x300.png
谷歌警告称此証书可能会冒充其他网站
CNNIC包含在所有主要操作系统的受信任的根証书存储区中﹐所以其颁发的証书被几乎
所有浏览器和操作系统所信任。包括Windows、OS X、Linux等系统。
谷歌已经就此事及时通知了CNNIC和其他主流浏览器厂商﹐我们阻止了chrome信任 MCS
的証书。CNNIC22日解释称MCS只会在其已经注册拥有的域名上颁发証书。然而﹐MCS没
有把私匙放在合适的HSM﹐MCS把它安装在中间人代理设备上。这些设备伪装成安全连接
﹐用来拦截MCS雇员的安全通讯用以监视雇员或者其他目的。雇员的计算机通常必须被
配置为信任代理才能够做到这一点。然而﹐MCS为了简单省事﹐直接将証书颁发到公共
受信任証証书。这种做法严重违反了証书信任系统的规则。
这种解释是符合事实的。然而﹐CNNIC还签发了不适合MCS持有的証书权利和预期母的。
由于谷歌已经使用了CRLSet更新﹐所以Chrome用户不需要采取任何行动。我们并不建议
人们更改密码﹐或采取其他行动。
再次﹐此事件也凸显了互联网証书颁发机制公开透明的必须要。
在 twitter上﹐谷歌发言人补充道﹕”我们理解MCS只是想查看他们的员工的通讯内容
。”
Mozilla发言人随后称对 MCS颁发的中级証书将在即将到来的Firefox 37中被吊销。
根据最新 Mozilla安全博客的博文﹐CNNIC被发现颁发了用于中间人攻击的証书。该証
书被用于部署到网络防火墙中﹐用于劫持所有处于该防火墙后的HTTPS网络通信﹐而绕
过浏览器警告。
该証书来自CNNIC与某个公司的一个合同﹐该合同规定该公司仅用CNNIC提供的 Sub CA
証书签发属于自己公司名下的网站。但被Google发现该証书被用于部署到防火墙中﹐用
于劫持该网络中的所有HTTPS通信。
Chrome及Firefox默认会校验Mozilla 及Google 旗下所有的网站的証书﹐因此被Google
发现并报告了该问题。
Firefox从 37开始 将引入 OneCRL机制﹐将建立証书黑名单﹐拦截被滥用及不安全的証
书。
目前 Mozilla正在商讨对CNNIC根証书的处理。
※ 编辑: ggg12345 (211.76.254.3), 04/04/2015 21:57:08