Google SSL憑證遭冒充,各大瀏覽器緊急更新

标签: google ssl 更新 | 发表时间:2011-09-02 13:50 | 作者:戴佳慧 chitsaou
出处:http://www.bnext.com.tw/Feed/rss/topicslinks

Google本周稍早接獲報告,有部份Google用戶遭到網路駭客攻擊。駭客採用「中間人 (man in the middle)」攻擊手法,竊聽並攔截用戶GMail郵件及其他訊息。這幾天各大瀏覽器如Firefox、IE都陸續釋出更新版本,協助Google用戶預防這一波的攻擊。

一向對網路安全十分謹慎的Google,怎麼會成為這起攻擊事件的受害者呢?原來,駭客這次鎖定的攻擊目標,是荷蘭一家數位證書認證機構DigiNotar。這家認證機構所發放的SSL憑證,是被一般瀏覽器所認可的,因此DigiNotar遭駭之後,市面上就流出DigiNotar發放的假憑證,而不會被一般的瀏覽器察覺。當Google用戶使用HTTPS連上網站,看到瀏覽器標示連線已加密,以為萬無一失,卻沒想到駭客已經潛伏在其中了。

事發之後,許多瀏覽器業者都緊急做出回應。Google Chrome瀏覽器原本就有偵測假憑證的功能,Mozilla Firefox和Microsoft IE也立刻釋出更新,以過濾掉這些冒充的SSL憑證。目前只剩下Apple Safari可能會受到影響,Mac OS X的用戶可能要多加留意。

Google部落格上指出,目前已知遭受攻擊的用戶大多位於伊朗。但根據歐洲媒體的報導,除了Google之外,從DigiNotar流出的假冒SSL憑證,還包括了Yahoo、 Mozilla、 Wordpress等知名網站,因此網友們還是應該提高警覺,定期更新瀏覽器。

相关 [google ssl 更新] 推荐:

Google SSL憑證遭冒充,各大瀏覽器緊急更新

- chitsaou - 數位時代 Beta3.0 | Topics & Links
Google本周稍早接獲報告,有部份Google用戶遭到網路駭客攻擊. 駭客採用「中間人 (man in the middle)」攻擊手法,竊聽並攔截用戶GMail郵件及其他訊息. 這幾天各大瀏覽器如Firefox、IE都陸續釋出更新版本,協助Google用戶預防這一波的攻擊. 一向對網路安全十分謹慎的Google,怎麼會成為這起攻擊事件的受害者呢.

给浏览器添加SSL加密的Google搜索引擎

- Sam - cnBeta.COM
今天 Google 宣布其搜索引擎也开始支持 SSL 加密传输,以更好地保障用户的数据安全,当然一定程度上也缓解了国内使用Google搜索经常被重置的现象. 下面我介绍一下怎样在主流的浏览器上使用 SSL 加密的Google搜索,包括 IE,Firefox,Chrome,Opera,需要注意的是,如果被转入google.com.hk,请选择主页下的 Go to Google.com ,之后可以正常使用.

Google将发布补丁阻止SSL/TLS攻击

- SotongDJ - Solidot
51开源社区 写道 "研究者最近发现了一个存在于TLS 1.0(目前使用最广泛的安全加密协议)的重大漏洞. 利用该漏洞,黑客可以悄悄解密客户端和服务器端之间通过HTTPS传输的数据. 本周在布宜诺斯艾利斯举行的黑客技术研讨会上,Thai Duong和Juliano Rizzo将展示一个利用此漏洞的方式,使用称为BEAST的脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie.

Google搜索将默认对登陆用户使用SSL加密

- perfect - Solidot
tbw 写道 "目前Google搜索中支持SSL加密方式的有Web搜索、图片搜索和除地图搜索之外的其他搜索模式. 当然,由于计算机需要首先与Google建立安全链接,所以使用SSL加密方式的搜索体验可能比传统模式的搜索会稍微慢一点. Google英文官方博客今天发文称,Google将默认对登陆用户使用SSL加密,以更好的保证用户隐私.

Chrome 即将更新以对付攻击 SSL 协议的 BEAST

- ROY - 谷奥——探寻谷歌的奥秘
感谢 Dante Jiang 的爆料和翻译. 实际上对付BEAST对SSL攻击的工作从今年 5、6 月份就展开了. BEAST 的两位研究人员也没在本周五正式发表前透露太多细节,不过 Google 显然不打算冒任何风险. BEAST 利用选择明文恢复 (chosen plaintext-recovery) 攻击 SSL 和 TLS 早期版本的 AES 加密,其中被称为加密块连锁 (cypher block chaining) 的加密方式使用之前的加密块对下一个块进行加密.

SSL加密可被破解,Chrome 将更新以应对

- tinda - ITeye资讯频道
研究者最近发现了一个存在于TLS 1.0(几乎应用于所有HTTPS加密网站的协议)的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议. 只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密.

nginx配置ssl

- - 邢红瑞的blog
先生成网关证书 ,仿照CA模式.

SSL原理笔记

- - CSDN博客推荐文章
搜索SSL握手的原理,最多是网上转载的Alice和Bob的对话. 用生动、形象的场景说明了一个复杂SSL握手原理. 用公钥加密的数据只有私钥才能解密,相反的,用私钥加密的数据只有公钥才能解密,正是这种不对称性才使得公用密钥密码系统那么有用. 是一个验证身份的过程,目的是使一个实体能够确信对方是他所声称的实体.

SSL工作原理

- - 互联网 - ITeye博客
SSL 是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性. 超文本传输协议 (HTTP)使用 SSL 来实现安全的通信. 在客户端与服务器间传输的数据是通过使用对称算法(如 DES 或 RC4)进行加密的. 公用密钥算法(通常为 RSA)是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥.