谷歌、微软、Mozilla三家公司纷纷撤下两种来自于TurkTrust的欺诈数字证书

        据外媒报道，谷歌于今日宣布撤销两种欺诈性数字认证证书，其中一种则是未经授权的Google.com认证。与此同时，微软和Mozilla也宣布他们也将移除这两种存在问题的认证证书。谷歌指出，在上一年圣诞节前夕，Chrome浏览器检测到并屏蔽掉了一种未经认证的Google.com认证。经过调查发现，这一认证的中级CA被链回到了TurkTrust上。
                到了圣诞节当天，谷歌立马升级了Chrome的数字认证，撤销了这一存在潜在威胁的认证证书的元数据，屏蔽了中级CA，并且对TurkTrust以及其他浏览器厂商提出了警告。

据悉，这两个错误的中级CA证书来自于TurkTrust Inc.。谷歌在圣诞后的第一天又再次通知了其他浏览器厂商。虽然TurkTrust提供了两个错误CA证书，不过照目前来看只有一个CA证书形成了未经认证的证书。

微软则对这两个假证书做出了更加详细的说明：TurkTrust Inc.创建了两个错误的附属CA--*.EGO.GOV.TR和e-
islam.kktcmerkezbankasi.org。*.EGO.GOV.TR
附属CA之后则被生成*.google.com的一个欺诈数字认证证书。

谷歌公司于近日指出，由于中级CA证书携带了CA证书的所有授权内容，所以它们可以创建任何一个网站的认证证书。他们决定将在1月再次升级Chrome浏览器，从而不再显示由TurkTrust发行的扩展验证状态。

与此同时，微软也于今日发布了Security Advisory 2798897（安全通告），即由TurkTrust发行的两种数字认证证书将会激活大量网络攻击。另外， 他们还升级了CTL，从中移除了这两种认证证书。

微软指出，Windows Vista以及更低版本系统并且在上年6月份安装的CTL的用户将不会受到任何影响。Windows XP以及Windows Server 2003用户如果没有安装CTL的话，需要尽快安装最新版本的CTL。

除了谷歌和微软公司之外，Mozilla也宣布将撤销其浏览器中的以上提到的这两种认证。该公司计划在1月8日将为所有的Firefox用户带来一次安全升级。
               
               
               

               
                1
                顶一下