這兩件事情加起來會不會太巧合...
首先是有攻擊者成功利用 Comodo CA 產生 www.google.com
、login.yahoo.com
、login.skype.com
、addons.mozilla.org
、login.live.com
的 SSL certificate:「Report of incident on 15-MAR-2011」,雖然被 revoke (撤銷),但是我們知道 revoke 機制極度脆弱:「Revocation doesn't work」。
過沒幾天,有人發現 AT&T 到 Facebook 的流量會流經中國 ISP 的網路設備:「Facebook traffic mysteriously passes through Chinese ISP」。
關於這幾件事情,我們能做的並不多,只能僅可能的做:
- 首先先移除 CNNIC 的 CA,步驟用 Google 找應該很多,因為去年二月時有不少人有寫文章:搜尋「移除 CNNIC」。
- 在 Facebook、Twitter 上預設開啟 SSL:「A Continued Commitment to Security」、「Making Twitter more secure: HTTPS」。
接下來就是祈禱了...
難怪微軟那天緊急出了security patch kb252437,那時win 7更新時連說明都沒有。
http://www.microsoft.com/technet/security/advisory/2524375.mspx5
我記得有啟用 Online Certificate Status Protocol的瀏覽器會自動block..
會用 Comodo 那組 SSL certification 的單位會直接擋掉 OCSP 連線,於是不會出現警告... (也就是「revoke 機制極度脆弱」那個連結講的事情)