WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Chrome và Firefox đồng loạt từ chối chứng chỉ bảo mật số do Trung Quốc cấp phát
Google hôm 1/4 tuyên bố loại bỏ khỏi trình duyệt Chrome của hãng này mọi chứng chỉ bảo mật số được phát hành bởi cơ quan quản lý Internet Trung Quốc (CNNIC).
Tiếp bước Google, vào ngày 2/4, hãng Mozilla cũng phát đi tuyên bố trình duyệt Firefox sẽ không tiếp tục "nhận dạng" các chứng chỉ bảo mật số (CA) mới được cấp phát sau thời điểm ngày 1/4 bởi cơ quan quản lý Internet quốc gia Trung Quốc CNNIC.
Khác với Mozilla Firefox, Google Chrome loại bỏ mọi CA có nguồn gốc từ CNNIC.
Theo tường thuật của trang tin tức công nghệ ArsTechnica, quyết định trên được hai hãng Google và Mozilla đưa ra chỉ một tuần sau khi nhóm nghiên cứu bảo mật tại hãng khổng lồ tìm kiếm Google phát hiện ra CNNIC đã phát hành một chứng chỉ bảo mật số (CA) cho công ty Ai Cập MCS Holdings, và sau đó MCS đã sử dụng chứng chỉ an toàn này để thực hiện một số hành vi "ngờ vực" nhằm vào máy chủ dịch vụ thư điện tử Gmail cũng như vài tên miền khác của Google.
Google tin rằng CNNIC phải chịu trách nhiệm cho việc cấp phát (CA) nói trên và đã quyết định loại bỏ mọi CA được cấp phát từ cơ quan CNNIC khỏi trình duyệt Chrome.
Về cơ bản, CNNIC tại Trung Quốc có chức năng tương tự Trung tâm Internet Việt Nam VNNIC.
Điều đó có nghĩa là, nhiều người dùng sử dụng trình duyệt Chrome và Firefox sẽ không xem được mọi website được chứng thực bởi CNNIC. Thậm chí, vài người dùng sẽ không thể đăng nhập vào một số trang thương mại điện tử hay website ngân hàng trực tuyến.
Trang ChinaTechnews cho hay, hàng ngàn website Trung Quốc sẽ sớm bị "đánh dấu" là không an toàn bởi trình duyệt Google Chrome.
Trong tuyên bố mới nhất của mình, theo tường thuật của hãng thông tấn quốc tế Reuters, phía CNNIC nói rằng hành động của Google là "không thể chấp nhận và không thể hiểu được", đồng thời kêu gọi Google cần xem xét đến lợi ích của người dùng.
Cơ quan quản lý Internet tại các quốc gia trên toàn cầu cấp CA cho một website nhằm đảm bảo thông tin định danh cho website ấy với trình duyệt web đang có nhu cầu truy xuất.
Do đó, một sự giả mạo CA hay một CA không an toàn về lý thuyết có thể giúp hacker giả mạo một website đã được chứng thực và sau đó hacker sẽ can thiệp vào dữ liệu trao đổi của người dùng với website ấy bằng cách sử dụng phương thức tấn công man-in-the-middle.
Chứng chỉ SSL giả mạo cho Windows Live có thể cho phép tấn công MitM
Tiếp bước Google, vào ngày 2/4, hãng Mozilla cũng phát đi tuyên bố trình duyệt Firefox sẽ không tiếp tục "nhận dạng" các chứng chỉ bảo mật số (CA) mới được cấp phát sau thời điểm ngày 1/4 bởi cơ quan quản lý Internet quốc gia Trung Quốc CNNIC.
Khác với Mozilla Firefox, Google Chrome loại bỏ mọi CA có nguồn gốc từ CNNIC.
Theo tường thuật của trang tin tức công nghệ ArsTechnica, quyết định trên được hai hãng Google và Mozilla đưa ra chỉ một tuần sau khi nhóm nghiên cứu bảo mật tại hãng khổng lồ tìm kiếm Google phát hiện ra CNNIC đã phát hành một chứng chỉ bảo mật số (CA) cho công ty Ai Cập MCS Holdings, và sau đó MCS đã sử dụng chứng chỉ an toàn này để thực hiện một số hành vi "ngờ vực" nhằm vào máy chủ dịch vụ thư điện tử Gmail cũng như vài tên miền khác của Google.
Google tin rằng CNNIC phải chịu trách nhiệm cho việc cấp phát (CA) nói trên và đã quyết định loại bỏ mọi CA được cấp phát từ cơ quan CNNIC khỏi trình duyệt Chrome.
Về cơ bản, CNNIC tại Trung Quốc có chức năng tương tự Trung tâm Internet Việt Nam VNNIC.
Điều đó có nghĩa là, nhiều người dùng sử dụng trình duyệt Chrome và Firefox sẽ không xem được mọi website được chứng thực bởi CNNIC. Thậm chí, vài người dùng sẽ không thể đăng nhập vào một số trang thương mại điện tử hay website ngân hàng trực tuyến.
Trang ChinaTechnews cho hay, hàng ngàn website Trung Quốc sẽ sớm bị "đánh dấu" là không an toàn bởi trình duyệt Google Chrome.
Trong tuyên bố mới nhất của mình, theo tường thuật của hãng thông tấn quốc tế Reuters, phía CNNIC nói rằng hành động của Google là "không thể chấp nhận và không thể hiểu được", đồng thời kêu gọi Google cần xem xét đến lợi ích của người dùng.
Cơ quan quản lý Internet tại các quốc gia trên toàn cầu cấp CA cho một website nhằm đảm bảo thông tin định danh cho website ấy với trình duyệt web đang có nhu cầu truy xuất.
Do đó, một sự giả mạo CA hay một CA không an toàn về lý thuyết có thể giúp hacker giả mạo một website đã được chứng thực và sau đó hacker sẽ can thiệp vào dữ liệu trao đổi của người dùng với website ấy bằng cách sử dụng phương thức tấn công man-in-the-middle.
Theo VnReview
Tin bài liên quan:
Chứng chỉ SSL giả mạo cho Windows Live có thể cho phép tấn công MitM
Chỉnh sửa lần cuối bởi người điều hành: