Mozilla的Firefox高级管理人员说:SSL证书颁发机构证实其系统7月曾遭受入侵,导致一系列网站得到了一些虚假的公钥证书,其中包括Google.com。
此外,荷兰网路信托服务专业公司DigiNotar的证书在谷歌、Mozilla可能还有微软的浏览器上业已失效,尽管它表示已经检测到了2011年7月19日发生的安全泄露问题,并删除了受影响的证书。此外,有一家外部安全审计机构也证实虚假证书已被吊销。然而,谷歌接收到的虚假证书却没被删除。
DigiNotar声称:“最近,我们发现至少有一个欺诈性的证书还尚未撤销。后来经荷兰政府组织Govcert通知,我们立即采取行动,撤销了这些欺诈性证书。”它还表示这次安全攻击只是针对DigiNotar签发SSL证书的基础设施,其他类型证书的发布并未涉及。
DigiNotar的母公司Vasco告诉其投资者,DigiNotar的这次安全泄露不会给公司整体业绩造成巨大冲击,因为SSL业务每年盈利额还不到10万美元。这可能也是对谷歌、Mozilla和微软的回应,因为这三家公司已经在其浏览器产品中将DigiNotar移除,不再认定其为一家可信的SSL证书颁发机构。同时,这也引发了大家关于SSL证书颁发机构可信度的大讨论。我们不禁会联想到DigiNotar发布官方新闻稿的时机怎么会这么巧,而且更为奇怪的是,为什么在7月发现安全泄露事故的时候,它却没有发布相关信息。
