Google の公式セキュリティ ブログによると、Google は、フランス情報システムセキュリティ庁 (ANSSI) と関係のある中間 CA 発行者が偽の CA 証明書を発行したことを発見しました。 Google は、証明書を取り消すために Chrome を直ちに更新し、ANSSI および他のブラウザベンダーに通知すると発表しました。 Google はブログ投稿で、中間証明書にはすべての CA 認証が含まれているため、そのような中間証明書を取得した人は誰でもそれを使用して任意の Web サイト証明書を偽造し、ユーザーの承諾を得て暗号化されたネットワーク トラフィックを監視できると指摘しました。たとえば、「Google Gmail の https をクラックするための新しいアイデア」で言及されている攻撃方法。 ANSSIはその後、偽造証明書の発行は人為的なミスであり、ネットワーク全体のセキュリティには影響がなかったとの声明を発表した。 ANSSI 偽造 CA 証明書は、世界で初めて暴露された国家レベルの偽造 CA 証明書による暗号化通信ハイジャック事件であり、ネットワーク セキュリティ業界に悪影響を及ぼしていると報じられています。この偽の CA 証明書は、Google トラフィックを監視し、Gmail、Google HTTPS 検索、Youtube などでフィッシング攻撃、コンテンツのなりすまし、中間者攻撃を実行するなど、Google の暗号化ネットワーク サービスを乗っ取るために使用され、被害者の Google アカウントのパスワードやその他の機能を盗みました。 Google はこの事件をきっかけに証明書の透明性の必要性を強調し、中間者攻撃やオンライン詐欺につながる可能性のある SSL 証明書システムの欠陥を修正する予定です。 Google は、この種の脆弱性に対して、CA フレームワークを使用してこれらの証明書を監視および確認し、不正な CA を排除するか、違法な証明書が侵入しようとしたときにそれらを隔離するという対応をとっています。 マイクロコメント:フランス当局は違法な証明書を使ってGmailアカウントを攻撃した。これは単純すぎるし、時にはナイーブだ。この手法は捕まりやすいだけでなく、暴露された後は恥辱と混乱を招くことになる。中国を見れば、はるかに進んでいる。通信事業者を通じてユーザーを直接乗っ取り、パスワードを盗むのだ。Googleは中国のネットワーク環境を持っていないため、まったく検知できない。その結果、ハッキングされたときに誰がやったのか分からない。そのため、Gmailを使用する中国のユーザーには2段階認証が必須となっている。 Google、フランス政府の偽造CA証明書を発見 キーワード: GOOGLE |
>>: 「ニュースクラウドファンディング」ウェブサイトは短命だと非難され、閉鎖のジレンマに直面した
優秀な SEO プロジェクト マネージャーになるのは、依然として非常に困難です。これには、プロジェク...
Reversehosts は、ブラック フライデーの前に、4 つのコアと 512 MB のメモリを備...
2018年上半期、長く慎重な社内テスト期間を経て、小紅書は激動の生放送戦場に正式に加わり、商業化への...
最近、中国ビジネスネットワークデータセンター(CBNData)とTmall Overseasは共同で...
Sharktech(Shark Data Center)ロサンゼルスデータセンターでは、80Gの高防...
12月12日、雷軍氏が所有するKingsoft Cloudは、クラウド業界では単一ラウンドの資金調達...
トラックがますます混雑する中、半年前にライブストリーミングサービスを開始したXiaohongsh...
[慎重に購入し、データ セキュリティに注意してください] 一般的な状況: Intel Dual Xe...
WordPress サイトをインストールした後、多くのウェブマスターは robots.txt ファイ...
SEO が批判されているインターネットの一般的な環境では、ほとんどの人が多かれ少なかれ混乱しています...
123systems はブラックフライデーのプロモーションを前倒しで開始し、256 GB の RAM...
中国の IT 業界で最もホットな言葉は何かと言えば、それはクラウド コンピューティング、あるいはクラ...
ルーマニアの著作権フリー VPS プロバイダーである Hostsolutions は、イースター ス...
この記事を書いたとき、私は不安と葛藤を感じました。ここ数年の失敗を記事にまとめて皆さんと共有しようか...
「電子商取引」という言葉は、2007 年にインターネット上で最もホットな言葉の 1 つになるはずです...