Google发现法国政府伪造CA证书

　　据谷歌官方安全博客报道，谷歌发现一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。谷歌宣布立即更新Chrome吊销了这个证书，并通知了ANSSI和其它浏览器供应商。

　　谷歌在博客中指出，中间证书里包含了所有的CA授权，所以任何人只要得到这样的一张中间证书，就可以用它伪造出任何一张他想要得到的网站证书，这样就可以在用户知情的情况下监视加密网络流量。例如“破解Google Gmail的https新思路”里提到的攻击方式。

　　ANSSI随后发表声明，称发行伪造证书是一次人为错误，表示没有对整体网络安全造成任何影响。

　　据悉，ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件，在网络安全行业影响恶劣。此伪造CA证书被利用监视Google流量，劫持Google的加密网络服务，例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击，从而实现窃取受害者的Google帐号密码等功能。

　　谷歌用这次事件强调证书透明度的必要性，打算修复SSL证书系统中的缺陷，这种缺陷易导致中间人进攻和网络欺诈。谷歌针对此类漏洞的对策是，采用CA框架使监控和审查这些证书，如此来排除流氓CA或者当违规证书企图进入的时候进行隔离。

　　微评：法国相关部门通过违法证书的方法攻击Gmail帐号，实在是too simple，sometimes naive了，这种做法不但容易被抓住把柄，而且被揭穿后会声名狼藉，不可收拾，看看天朝就先进多了，直接通过电信运营商来劫持用户盗取密码，Google那里没有中国的网络环境根本发现不了，结果用户被黑了都不知道谁搞的，所以啊，中国用户使用Gmail，两步验证是必须的。

原标题：Google发现法国政府伪造CA证书

关键词：